Novos alvos da web para o hacker mais exigente
À medida que 2022 chega ao fim, o HackerOne revelou que vulnerabilidades baseadas em nuvem tornaram-se cada vez mais comuns este ano, à medida que as organizações embarcam na transformação digital.
A plataforma de recompensas de bugs relatou que os pesquisadores descobriram mais de 65.000 vulnerabilidades de software por meio de seu serviço durante no ano, um aumento de 21% em relação a 2021.
As vulnerabilidades de configuração incorreta também aumentaram 150% e os problemas de autorização imprópria em 45%, principalmente porque as organizações estão instituindo permissões cada vez mais granulares à medida que migram para a nuvem.
Intel recentemente pagou um bug de $ 10.000 recompensa para Julien Ahrens da RCE Security – apesar de contestar a gravidade da falha.
Ahrens contornou a autenticação Intel Data Center Manager (DCM) falsificando as respostas Kerberos e LDAP (Lightweight Directory Access Protocol), alegar que isso levou à execução remota de código (RCE).
A Intel reconheceu a vulnerabilidade e deu a ela uma pontuação de gravidade de 8,8, mas diz que o problema foi apenas uma falha de elevação de privilégio. Ele foi persuadido a fazer o pagamento de uma só vez.
Enquanto isso, um pesquisador de segurança conhecido pelo apelido de Peter M demonstrou este mês como ele contornou os firewalls de aplicativos da web (WAF) da Akamai executando o Spring Boot, potencialmente levando à execução remota de código (RCE).
Ele diz que foram necessárias 500 tentativas criadas e mais de 14 horas para encontrar um ponto de entrada como parte de um programa privado do Bugcrowd.
O ataque, realizado com a ajuda do pentester Synack Usman Mansha, injeção Spring Expression Language (SpEL) usada.
Leia mais sobre as últimas notícias sobre recompensas por bugs
Em outras notícias sobre recompensas por bugs, a Intigriti diz que tem pagou quase três vezes mais este ano em comparação com o ano passado, com o valor médio dobrando.
Ele diz que os hackers éticos veem cada vez mais o bug caça de recompensas como uma carreira em tempo integral, com 96% dizendo que gostariam de dedicar mais tempo a isso. O maior atrativo é o dinheiro, junto com a capacidade de trabalhar em qualquer lugar do mundo, a capacidade de trabalhar sozinho e a chance de enganar os cibercriminosos.
E a revisão da Meta de seu próprio programa de recompensas por bugs este ano revelou que pagou mais de $ 2 milhões, recebendo cerca de 10.000 relatórios no total, dos quais pagou em 750.
A Meta também divulgou diretrizes de pagamento atualizadas para bugs RCE móveis, e há novas diretrizes de pagamento .
Confira o Contentsquare página de recompensa de bug para mais detalhes
Doppler
Provedor do programa:
HackerOne
Tipo de programa:
Público
Recompensa máxima:
US$ 2.500
Resumo:
A Doppler se autodenomina uma “plataforma SecretOps que os desenvolvedores e as equipes de segurança confiam para fornecer gerenciamento de segredos em escala empresarial”.
Observações:
Novamente, existem vários domínios a serem explorados, além do código-fonte do Doppler. Há também cinco domínios que estão fora do escopo do teste.
Confira Doppler página de recompensa de bug para mais detalhes
Engel & Völkers Technology GmbH
Provedor do programa:
HackerOne
Tipo de programa :
Público
Recompensa máxima:
US$ 1.000
Esboço:
A empresa de consultoria de TI Engel & Völkers Technology GmbH abriu seus domínios para testes por bug caçadores de recompensas.
Observações:
Existem mais de 10 domínios disponíveis para ataque, variando de crítico a médio. Há também alguns domínios que estão fora do escopo e não devem ser testados.
Confira o Engel & Völkers Tecnologia GmbH para obter mais detalhes
Harman International
Provedor do programa:
YesWeHack
Tipo de programa:
Público
Recompensa máxima:
US$ 5.000
Esboço:
A fabricante de eletrônicos Harman, uma empresa da Samsung, está pedindo ajuda com o “fortalecimento de todo o ecossistema” relacionado a Dispositivos JBL.
Observações:
Existem 16 alvos no escopo, incluindo dispositivos físicos, APIS da web e aplicativos, portanto, há algo para todos ficarem presos.
Verifique Confira a página de recompensas de bugs da Harman International para obter mais detalhes
Moonpay
Provedor do programa:
HackerOne
Tipo de programa:
Público
Recompensa máxima:
US$ 20.000
Resumo:
A plataforma de troca de criptomoedas Moonpay está oferecendo grandes recompensas por vulnerabilidades de segurança em vários domínios e seu código-fonte.
Observações:
Existem quatro domínios fora do escopo , portanto, eles devem ser verificados antes de prosseguir. Moonpay também detalha uma extensa lista de vulnerabilidades que não são elegíveis para recompensa, portanto, isso também deve ser verificado.
Confira a página de recompensas de bug Moonpay para mais detalhes
Navitas
Provedor do programa:
Bugcrowd
Tipo de programa:
Privado
Recompensa máxima:
US$ 2.500
Resumo:
A provedora de educação australiana Navitas está oferecendo recompensas por bugs reproduzíveis em seus serviços, com recompensas baseadas na gravidade do problema.
Observações :
Embora a empresa esteja sediada na Austrália, as recompensas estão abertas a hackers éticos em todo o mundo, mediante convite.
Confira um comunicado de imprensa sobre a recompensa do bug do Navitas programa para mais detalhes
OVO
Provedor do programa:
YesWeHack
Tipo de programa:
Público
Max Recompensa:
US$ 3.000
Esboço:
Pagamento indonésio, recompensas e financiamento A plataforma de serviços ial está pedindo aos hackers que encontrem bugs em quatro de seus aplicativos móveis e da web, oferecendo muitas oportunidades para buscar uma recompensa.
Observações:
OVO observou explicitamente que os ambientes de preparação estão fora de escopo, assim como quaisquer outros alvos que não estejam especificamente listados em sua página de recompensas de bugs.
Confira o OVO página de recompensa de bug para mais detalhes
Swapcard
Provedor do programa:
YesWeHack
Tipo de programa:
Público
Recompensa máxima:
€2.000 ($2.140)
Esboço:
Swapcard se descreve como um evento app e plataforma de matchmaking alimentada por inteligência artificial, que realiza eventos nos setores de segurança, governo e saúde.
Observações:
Existe uma extensa lista de aplicativos e APIs que podem ser direcionados, então vale a pena conferir antes de começar. Observe também que o Swapcard afirma que os relatórios com uma prova de conceito detalhada serão recompensados com uma taxa mais rápida, se qualificados, do que aqueles sem.
Confira Swapcard página de recompensa de bug para mais detalhes
VFS
Provedor do programa:
YesWeHack
Tipo de programa:
Público
Recompensa máxima:
US$ 1.500
Esboço:
VFS gerencia os aspectos administrativos e não tarefas de julgamento relacionadas a vistos, passaportes e serviços consulares para seus governos clientes.
Observações:
A recompensa máxima é para vulnerabilidades consideradas ‘críticas’. Os exemplos incluem, entre outros, o vazamento de informações de identificação pessoal do solicitante de visto, Referências diretas inseguras de objetos (IDOR) resultando em vazamento significativo de informações confidenciais do usuário e scripts que podem automatizar a conclusão de o fluxo de registro do usuário.
Confira o VFS página de recompensa de bug para mais detalhes
Yuga Labs
Provedor do programa:
HackerOne
Tipo de programa:
Público
Recompensa máxima:
US$ 25.000
Esboço:
A Yuga Labs está oferecendo impressionantes US$ 25.000 para a descoberta de vulnerabilidades críticas em sua plataforma web3.
Notas:
A empresa está solicitando relatórios sobre bugs não apenas em seus domínios, mas também em seus servidores Discord. Qualquer pessoa que queira atacar os servidores do Discord deve verificar primeiro a política separada na página de recompensas de bugs do Yuga Labs.
Confira o Yuga Labs página de recompensa de bug para mais detalhes
EDIÇÃO ANTERIOR Bug Bounty Radar // Os últimos programas de bug bounty para dezembro de 2022