Crypto.com 与 HackerOne 一起推出 200 万美元的漏洞赏金计划
Crypto.com,一家全球领先的加密货币平台,拥有超过1亿用户,近日宣布与HackerOne合作,对其漏洞赏金计划进行重大升级。这一举措加强了该公司在不断发展数字资产领域中,对安全和客户保护的承诺。 升级后的计划拥有创纪录的200万美元奖励池,使其成为HackerOne平台上所有行业中提供的最大赏金。这一前所未有的金额凸显了Crypto.com在发现和解决潜在漏洞方面的承诺,以防被恶意行为者利用。 Crypto.com首席执行官Kris Marszalek表示:“安全和合规是我们Crypto.com一切工作的基石。随着我们业务和行业的不断发展,我们必须要专注于我们的核心原则,而这个新的赏金计划正是通过设定新标准来做到这一点。” 通过激励安全研究人员识别和报告漏洞,Crypto.com旨在积极加强其平台的防御能力,并确保用户资产的安全。 HackerOne首席执行官Kara Sprague表示:“当你运营一个服务于超过1亿客户的全球应用程序时,在恶意行为者之前发现关键安全漏洞对于系统完整性和客户信任至关重要。” C rypto.com的首席信息安全官Jason Lau强调了公司在持续改进安全保证方面的承诺。Lau说:“我们一直尊重并与道德黑客社区合作,作为我们安全团队的一部分。通过这一里程碑深化与HackerOne的关系,并设立这一标志性的赏金,凸显了我们致力于增强保障和消费者保护的承诺。” Crypto.com在安全和合规方面的最新举措,建立在其已经令人印象深刻的业绩记录之上。该平台已获得包括SOC2 Type 2、PCI DSS 4.0、ISO 27017和ISO 27019在内的多项认证,展示了其遵循最高行业标准的承诺。 这个200万美元的漏洞赏金计划是Crypto.com主动安全方法的明确信号,表明其致力于为用户提供一个安全可靠的平台。通过与道德黑客社区的互动,该公司在建立一个更安全的加密货币生态系统方面迈出了重要一步。 要了解有关Crypto.com漏洞赏金计划的更多信息以及如何参与,请访问hackerone.com/crypto。 转自安全客,原文链接:https://www.anquanke.com/post/id/302482 封面来源于网络,如有侵权请联系删除
谷歌为其 Android 应用程序推出新的漏洞赏金计划
谷歌宣布了一项新的漏洞赏金计划,名为Mobile VRP(漏洞奖励计划),该计划涵盖其移动应用程序,用于报告谷歌开发或维护的第一方安卓应用程序的漏洞。 只有以下列表中的开发者发布的应用或一级列表中的应用(谷歌的Play服务、AGSA、Chrome、云、Gmail和Chrome远程桌面)才在新赏金计划的范围内。 谷歌将奖励任意代码执行漏洞和可能导致敏感数据被盗的漏洞。同时也在发掘以下漏洞: 导致任意文件写入的路径遍历/压缩路径遍历漏洞 导致启动非出口应用组件的意图重定向 因不安全使用待定意图而导致的漏洞 孤立权限 下面的表格报告了该公司对不同类别的漏洞和根据这些漏洞与用户交互程度所提供的奖励: 白帽可以赚取高达30000美元,因为一级应用程序的漏洞可以在没有用户交互的情况下被远程利用,以实现任意代码执行。 谷歌在公告中指出,当调查一个漏洞时,请只针对你自己的账户,千万不要试图访问其他人的数据,也不要参与任何会对谷歌造成破坏或损害的活动。 有兴趣参加移动VRP的挖洞人员应通过谷歌的报告页面提交发现。 转自 Freebuf,原文链接:https://www.freebuf.com/news/367384.html 封面来源于网络,如有侵权请联系删除
2022 年,谷歌向安全研究人员支付 1200 万美元的漏洞赏金
Bleeping Computer 网站披露,2022 年,谷歌通过漏洞奖励计划支付了有史以来最高的漏洞奖金,为安全研究人员报告的 2900 多个漏洞,支付超 1200 万美元。 2022年,谷歌漏洞奖励总额跃升至1200万美元 (来源:谷歌) 安卓漏洞赏金计划 近期,谷歌发布了漏洞奖励计划(VRPs)的统计数据,详细概述了安全研究人员如何发现公司产品中安全漏洞以及获得的漏洞赏金数额。 资料显示,最大单笔报酬发给了 gzobqq ,其在提交的报告中详细说明了安卓系统中五个漏洞(CVE-2022-20427, CVE-2022-20428, CVE-2022-20454, CVE-2022-20460)的利用链,一共获得了 60.5 万美元的奖励。 值得一提的是,2021年,gzobqq 发现并报告了安卓系统中的另一个关键漏洞链,获得了 15.7 万美元的奖励,该金额是当时安卓系统 VRP 历史上最高的漏洞赏金。通常情况下,通过谷歌 VRP 提交安卓漏洞的赏金最高为 1 万美元,但对于漏洞链,提供者最高可获得的赏金高达 100 万美元。 2022 年,谷歌为数百个安卓漏洞支付了 480 万美元的奖励,报告大多数漏洞的顶级研究人员主要是以下几位: Bugsmirror 的 Aman Pandey:超过 200 个漏洞 OPPO 琥珀安全实验室的 Zinuo Han:150 个漏洞 Yu-Cheng Lin:近 100 个漏洞 2022 年,谷歌还通过其与安卓芯片组制造商合作提供的私人奖励计划 ACSRP,为 700 份漏洞安全报告提供了 48.6 万美元的奖励。 Chrome 和 OSS 的奖励 2022 年,谷歌公司还为 Chrome 浏览器中的 363 个漏洞和 ChromeOS 中的 110 个安全漏洞支付了总计 400 万美元的赏金。 除了向研究人员发放奖金外,谷歌还向 170 多名研究人员发放了超过 25 万美元的赠款。这些资金用于关注谷歌产品和服务的个人研究员,即使他们没有发现任何漏洞。 2022 年,谷歌为通过漏洞奖励计划提交的报告支付了 703 名研究人员的费用,并成为 NahamCon 和 BountyCon 安全相关会议的赞助商。 转自 Freebuf,原文链接:https://www.freebuf.com/articles/358421.html 封面来源于网络,如有侵权请联系删除
漏洞赏金平台 HackerOne 完成 3640 万美元 D 轮融资
据外媒VentureBeat报道,2018年,全球网络安全市场固定在1520亿美元,预计几年内将增长到2500亿美元。无论公司投入多少资金以确保其产品无故障,其系统中可能存在某些漏洞,使其容易被入侵。在此背景下,漏洞赏金平台HackerOne周日宣布,其已经在Valor Equity Partners领投的D轮融资中募集了3640万美元,另外包括Benchmark,New Enterprise Associates,Dragoneer Investment Group和EQT Ventures等跟投。 总部位于旧金山的HackerOne成立于2012年,是一个将公司与安全研究人员或“白帽黑客”联系起来的平台,后者将可以查找和报告软件应用程序中的安全漏洞而获得现金奖励。 除了为发现和报告漏洞的人提供奖励之外,HackerOne向公司收取20%的佣金。该公司表示,针对白帽黑客攻击关键漏洞的平均奖金现在为3384美元,同比增长48%,其中六名HackerOne社区成员的总收入超过100万美元。 早在6月份,在网络攻击危及数据并禁用关键计算机系统后,佛罗里达州的两个城市向黑客集体支付了超过100万美元的比特币赎金。这有助于说明针对不良行为者的吸引力应用程序和数据库漏洞 – 它不仅仅是窃取数据,因为勒索软件攻击也可以证明是非常有利可图的。此外,越来越多的软件公司成为网络犯罪分子的目标。这就是为什么投资者热衷于支持HackerOne及其旧金山竞争对手BugcroWD等漏洞赏金平台的原因,该公司去年筹集了2600万美元的资金。 “HackerOne正在引领新一波网络安全公司应对快速增长和更复杂的攻击带来的独特挑战,”Valor Equity Partners的David Obrand说道,他现在加入了HackerOne的董事会。“以黑客为动力的安全性已经存在,而且凭借其巨大的客户和黑客社区,HackerOne正在主导市场。” HackerOne声称其拥有一些著名的客户,包括阿里巴巴,Airbnb,美国国防部,Dropbox,高盛,英特尔,星巴克,Spotify,任天堂,PayPal,丰田,Twitter等等。根据该公司的说法,白帽黑客每天都会通过HackerOne与公司联系,并且在超过四分之三的新漏洞奖励计划中,一天之内就会报告一个有效的漏洞。据HackerOne称,其中四分之一被认为具有“高”或“严重”漏洞。 HackerOne首席执行官Marten Mickos补充说:“HackerOne的成立是为了让世界能够建立一个更安全的互联网。我们的业务增长速度超过了市场平均水平,随着一些世界领先组织(金融服务、零售、酒店等)越来越多的采用,现在是时候让全球所有组织都可以使用HackerOne社区和平台了这依赖于软件。” HackerOne之前筹集了大约7400万美元,其中包括2017年完成的4000万美元C轮融资。该公司计划加快全球扩张并扩大其“企业和数据驱动产品”。“这一轮新的资金使我们能够为每个人带来黑客驱动的安全性,”Mickos补充道。 (稿源:cnBeta,封面源自网络。)
奖金 10 万美元 约翰·迈克菲招募黑客攻击 Bitfi 数字钱包
McAfee反病毒软件创始人约翰迈克菲最近在社交媒体上高调招募黑客攻击他公司新产品Bitfi数字钱包,他表示会给那些可以闯入Bitfi钱包的人提供10万美元奖金。约翰迈克菲表示,对于那些声称没有什么设备是不可破解的人来说,Bitfi钱包真的是世界上第一个不可攻击的设备,任何可以破解它的人都可获得10万美元的赏金。 Bitfi营销团队已经足够快速地制定了一些关于这场比赛的官方规则。这个团队表示:“我们坚信奖金的价值在于努力解决任何可能对Bitfi钱包安全性的担忧。这个赏金计划并不是为了帮助Bitfi识别安全漏洞,因为我们已经声称我们的钱包安全性是绝对的,并且钱包不会受到外部攻击的攻击或侵入。相反,这个活动旨在向任何声称或认为没有任何不可攻击或者他们可以侵入Bitfi钱包的人展示,这样的尝试是徒劳的,并且关于Bitfi钱包的广告声明是准确的。” 不过参与攻击Bitfi数字钱包攻击活动的黑客首先需要购买一个Bitfi钱包才能参与这次活动,并额外支付50美元才能将一些加密货币加载到设备上供参与者攻击和偷窃。申请赏金的规则很简单:“如果您成功提取硬币并清空钱包,这将被视为成功的黑客攻击,并且提供钱包清空的证据,然后你可以保留提取的数字货币,Bitfi说他们会向你支付10万美元。“ 约翰迈克菲还要求参与者公开任何攻击尝试,以便该过程可以帮助其他人进一步攻击Bitfi钱包。 稿源:cnBeta,封面源自网络;
卡巴斯基实验室扩展漏洞赏金计划,奖金提至 5000 美元
俄罗斯跨国网络安全公司和防病毒提供商卡巴斯基实验室已经宣布扩大漏洞奖金计划, 在新闻稿中,该公司指出,这项计划开始于 2016 年 8 月 1 日,卡巴斯基和平台提供商 HackerOne 合作,并持续六个月,目前已经在两个产品Kaspersky Internet Security 2017 和 Kaspersky Endpoint Security 10当中发现了 20 个漏洞。 扩展后的错误奖赏计划将发现远程代码执行漏洞的奖金从最高 2000 美元提升至最高 5000 美元,并且将另外一款产品 Kaspersky Password Manager 8 添加到目标产品的阵容当中。与第一阶段相反,现在“合格的个人和组织”可以提交关于三种 Kasperksy 产品的漏洞报告。 卡巴斯基正在招募测试者,在 Windows 8.1 或更新的微软桌面操作系统上测试这三种产品,具体意图是查找本地权限提升,用户数据泄密和远程代码执行方面的漏洞。平均来说,这些方面的漏洞奖金分别为 1000 美元,2000 美元和 5000 美元。 稿源:cnBeta,封面源自网络
Uber 竟为合作公司的漏洞支付了 9,000 美元赏金?
安全公司 Positive Technologies 曾发现反勒索备份服务 Code42 存在 XML 外部实体漏洞,近日据外媒报道,研究员将此漏洞上报后,由 Uber 为合作公司支付了漏洞赏金 9,000 美元。 安全公司 Positive Technologies 的渗透测试员 Vladimir Ivanov 发现,反勒索软件备份服务 Code42 存在的 XML 外部实体漏洞能够获得所有用户的备份访问权限、窃取使用该服务的组织(含 Uber、Adobe 和 Lockheed Martin 等)的数据。 由于检测结果显示漏洞涉及 Uber 且 Code42 并无漏洞赏金计划,Ivanov 选择通过 HackerOne 向 Uber 报告了这一漏洞,后者核实后确认它是一个 0day 随后也通知了 Code42 及时修复。Code42 方面则要求 Ivanov 等待所有客户更新完毕后方可披露漏洞细节。 稿源:HackerNews.cc 翻译/整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。
美国陆军漏洞赏金计划“ Hack the Army ”圆满结束,修复 118 处漏洞
据外媒报道,本周四美国陆军宣布漏洞赏金计划“ Hack the Army ”结果,该计划为期三周并于去年 12 月 21 日结束。 2016 年 11 月 11 日,在得克萨斯州的一个新闻发布会上,军方称继“ Hack the Pentagon ”(入侵五角大楼)漏洞赏金项目成功之后,美国陆军也将推出漏洞赏金项目“ Hack the Army ”(入侵军队)。该项目将继续由漏洞赏金平台 HackerOne 负责进行,军方希望借助黑客社区邀请符合条件的黑客来发现、修复未知的安全漏洞,以便在未来几周内增强网络的安全性。 美军称这次漏洞赏金计划取得了圆满成功,项目共收到了 400 多个漏洞报告,其中 118 是有效可复现的。美国陆军共向参与者支付了 100,000 美元的漏洞赏金。该项目共有 371 人 被邀请参加,其中 17 人来自军队, 8 人来自政府雇员。 美军还分享了一个高危漏洞的详情,研究人员发现了 goarmy.com 网站上存在两个漏洞,攻击者可以利用这两个漏洞通过开放的代理服务无需身份验证,即可访问国防部内部网站。 稿源:HackerNews.cc 翻译整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。
任天堂推出 3DS 漏洞赏金计划,最多可获 20000 美金
近日,任天堂在漏洞众测平台 HackerOne 上挂上了 3DS的漏洞悬赏任务,提交漏洞的用户可获得任天堂评估给出的 100 到20000 美金不等的报酬。 HackerOne 是一家传奇的漏洞众测平台,很多世界知名的公司都使用它来排除漏洞,例如:Yahoo、Twitter、Adobe、Facebook 等,甚至美国国防部也与其合作参与 “Hack the Pentagon” 的漏洞奖励计划。在HackerOne 有来自 150 多个国家 3000 多名黑客,同时 HackerOne 也是最早接受并利用黑客开展商业模式的公司之一。 此次任天堂在 HackerOne 上公布的任务仅针对 3DS 平台。简而言之,任天堂将对第一位上报合格的漏洞的用户奖励 100 至 20000 不等美元的报酬,具体的奖励金额由任天堂自行评估给出,并且保密。任天堂或者公众已知的漏洞不符合奖励的条件,同时奖励不会发放给处于制裁名单上的人与处于制裁国家名单上的人。 稿源:游民星空,封面:游民星空
美国防部宣布新漏洞政策、陆军漏洞赏金计划开始报名
美国国防部( DoD )周一宣布已制定一个新的漏洞披露政策。该政策旨在为研究人员提供一个渠道,披露政府网站中发现的安全漏洞。 新的漏洞披露政策不提供任何奖励回报,它提供了一个合法渠道去报告漏洞。五角大楼希望该政策会鼓励网络安全社区去帮助政府机构提高其防御能力。 黑客发现了任何公共网站漏洞,包括国防部控制的尤其是 defense.gov 和. mil 域名,都可以通过 HackerOne 提交一份报告。该组织已承诺将在三个工作日内确认报告并公开向提交有效问题的黑客致谢。 此外,之前公布的陆军漏洞赏金项目 “ Hack the Pentagon ” 于周一正式开放注册报名,约 500 白帽黑客有望参加挑战,报名截止到 11 月 28 日,该计划将 11 月 30 日至 12 月 21 日之间进行。 稿源:本站翻译整理,封面来源:百度搜索