Нижче наведено кураторський список програм Bounty відомих компаній
1) Intel
Програма винагороди Intel в основному націлена на апаратне забезпечення, прошивку та програмне забезпечення компанії.
Обмеження: сюди не входять нещодавні придбання, веб-інфраструктура компанії, сторонні продукти або будь-що, що стосується McAfee.
Мінімальна виплата: Intel пропонує мінімальну суму 500 доларів за пошук помилок у їхній системі.
Максимальна виплата: компанія платить максимум 30000 доларів за виявлення критичних помилок.
Посилання на Bounty: https://security-center.intel.com/BugBountyProgram.aspx
2) Yahoo
Yahoo має спеціальну команду, яка приймає звіти про вразливість від дослідників безпеки та етичних хакерів.
Обмеження: Компанія не пропонує жодної винагороди за пошук помилок у блогах преси Word у Yahoo 7, Yahoo 7 Yahoo Japan, Onwander та Yahoo.
Мінімальна виплата : На Yahoo не встановлено обмеження щодо мінімальної виплати.
Максимальна виплата : Yahoo може заплатити $ 15000 за виявлення важливих помилок у їхній системі.
Посилання на Bounty: https://safety.yahoo.com/Security/REPORTING-ISSUES.html
3) Snapchat
Команда безпеки Snapchat переглядає всі звіти про вразливості та відповідає за їх розкриття. Компанія, ми підтвердимо вашу заявку протягом 30 днів.
Мінімальна виплата : Snapchat виплатить мінімум $ 2000.
Максимальна виплата: Максимальна сума, яку вони заплатять, становить 15 000 доларів.
Посилання на Bounty: https://support.snapchat.com/en-US/i-need-help
4) Cisco
Cisco закликає осіб або організації, які стикаються з проблемою безпеки товару, повідомляти про них компанії.
Мінімальна виплата : мінімальна сума виплат Cisco становить 100 доларів США.
Максимальна виплата: компанія дасть максимум 2500 доларів на пошук серйозних вразливих місць.
Посилання на Bounty: https://tools.cisco.com/security/center/resources/security_vulnerability_policy.html
5) Dropbox
Програма Dropbox Bounty дозволяє дослідникам безпеки повідомляти про помилки та вразливості сторонньої служби HackerOne.
Мінімальна виплата : Мінімальна виплачена сума становить 12 167 доларів США.
Максимальна виплата: максимальна запропонована сума - 32 768 доларів.
Посилання на Bounty: https://help.dropbox.com/accounts-billing/security/how-security-works
6) Яблуко
Коли Apple вперше запустила свою програму помилок, вона дозволила лише 24 дослідникам безпеки. Потім рамки розширились, включивши більше мисливців за помилками.
Компанія заплатить 100 000 доларів тим, хто може отримати дані, захищені технологією Apple Secure Enclave.
Мінімальна виплата: Apple Inc. не встановлює обмеженої суми
Максимальна виплата: Найвища винагорода від Apple становить 200 000 доларів США за проблеми безпеки, що впливають на її прошивку.
Посилання на Bounty: https://support.apple.com/en-au/HT201220
7) Facebook
Відповідно до програми помилок Facebook користувачі можуть повідомляти про проблему безпеки у Facebook, Instagram, Atlas, WhatsApp тощо.
Обмеження: Є декілька проблем із безпекою, які платформа соціальних мереж розглядає як поза межами.
Мінімальна виплата : Facebook заплатить мінімум 500 доларів за розкриту вразливість.
Максимальна виплата: Facebook не встановлює верхньої межі виплат.
Посилання на Bounty: https://www.facebook.com/whitehat/
8) Google
Кожен вміст у .google.com, .blogger, youtube.com відкритий для програми винагород Google за винагороду.
Обмеження: Ця програма винагород охоплює лише питання проектування та впровадження.
Мінімальна виплата : Google заплатить мінімум 300 доларів за пошук захисних потоків.
Максимальна виплата : Google виплатить найбільшу винагороду в розмірі 31 337 доларів США за звичайні програми Google.
Посилання на нагороду: https://www.google.com/about/appsecurity/reward-program/
9) Квора
Quora пропонує програму Bug Bounty усім користувачам та дослідникам для пошуку та повідомлення про вразливі місця безпеки.
Мінімальна виплата : Quora заплатить мінімум 100 доларів за пошук вразливостей на своєму сайті.
Максимальна виплата : Максимальна виплата, запропонована цим сайтом, становить 7000 доларів США.
Посилання на Bounty: https://engineering.quora.com/Security-Bug-Bounty-Program
10) Mozilla
Mozilla винагороджує за виявлення вразливості етичними хакерами та дослідниками безпеки.
Обмеження: Баунті пропонується лише за помилки в сервісах Mozilla, таких як Firefox, Thunderbird та інших пов’язаних додатків та служб.
Мінімальна виплата : Мінімальна сума, надана Firefox, становить 500 доларів.
Максимальна виплата : компанія виплачує максимум 5000 доларів.
Посилання на Bounty: https://www.mozilla.org/en-US/security/bug-bounty/
11) Microsoft
Поточна програма відшкодування помилок Microsoft була офіційно запущена 23 вересня 2014 року і стосується лише Інтернет-служб.
Обмеження: Винагорода за винагороду надається лише за критичні та важливі уразливості.
Мінімальна виплата: Microsoft готова заплатити 15000 доларів за пошук критичних помилок.
Максимальна виплата : максимальна сума може становити 250 000 доларів.
Посилання на нагороду: https://technet.microsoft.com/en-us/library/dn425036.aspx
12) OpenSSL
Нагорода OpenSSL дозволяє повідомляти про вразливості за допомогою захищеної електронної пошти (ключ PGP). Ви також можете повідомити про вразливості Комітету управління OpenSSL.
Мінімальна виплата: Компанія виплачує мінімальну винагороду в розмірі 500 доларів США.
Максимальна виплата: Найвища сума, яку надає компанія, становить 5000 доларів.
Посилання на Bounty: https://www.openssl.org/news/vulnerabilities.html
13) Vimeo
Vimeo вітає будь-яке повідомлення про вразливість системи безпеки у своїх продуктах, оскільки компанія виплачує належну винагороду цій людині.
Мінімальна виплата: компанія виплатить мінімум 500 доларів США
Максимальна виплата : Максимальна сума, яку виплачує ця компанія, становить 5000 доларів США.
Bounty Link: https://vimeo.com/about/security
14) апачі
Apache заохочує етичних хакерів повідомляти про вразливі місця безпеки одному зі своїх списків розсилки приватних служб безпеки.
Мінімальна виплата: Мінімальна сума виплат , яку надає Apache, становить 500 доларів.
Максимальна виплата: ця компанія може максимально дати винагороду в розмірі 3000 доларів.
Посилання на Bounty: https://www.apache.org/security/
15) Twitter
Twitter дозволяє дослідникам та експертам з питань безпеки щодо можливих вразливих місць у їхніх службах. Компанія заохочує людей знаходити помилки.
Мінімальна виплата : Twitter платить мінімум 140 доларів США.
Максимальна виплата : Максимальна сума, яку компанія сплачує, становить 15000 доларів.
Посилання на Bounty: https://support.twitter.com/articles/477159
16) Avast
Програма Avast Bounty винагороджує етичних хакерів та дослідників безпеки за повідомлення про віддалене виконання коду, ескалацію локальних привілеїв, DOS, обхід сканера та інші проблеми.
Мінімальна виплата : Avast може виплатити вам мінімальну суму 400 доларів.
Максимальна виплата: Максимальна сума, запропонована компанією, становить 10 000 доларів.
Посилання на Bounty: https://www.avast.com/bug-bounty
17) Paypal
Послуга платіжного шлюзу Paypal також пропонує програми винагороди за помилки для дослідників безпеки.
Обмеження:
Вразливості, що залежать від методів соціальної інженерії, Заголовок хосту
Відмова в обслуговуванні (DOS), користувальницьке навантаження, підробка вмісту без вбудованих посилань / HTM та вразливості, для яких потрібен розбитий мобільний пристрій тощо.
Мінімальна виплата : Paypal може заплатити мінімум 50 доларів за пошук вразливостей системи безпеки в їх системі.
Максимальна виплата : Максимальна сума виплат, надана Paypal, становить 10000 доларів США.
Посилання на Bounty: https://hackerone.com/paypal
18) GitHub
GitHub запускає програму помилок з 2013 року. Кожен успішний учасник отримував бали за свої уявлення про вразливість залежно від ступеня важкості.
Обмеження: Дослідник безпеки отримає таку нагороду, лише якщо він поважає дані користувачів і не використовує жодної проблеми, щоб викликати атаку, яка може зашкодити цілісності служб або інформації GitHub.
Мінімальна виплата: Github платить мінімальну суму 200 доларів за пошук помилок.
Максимальна виплата : Github може заплатити 10000 доларів за пошук критичних помилок.
Посилання на Bounty: https://bounty.github.com/
19) Uber
Програма винагород за вразливість Uber головним чином була зосереджена на захисті даних користувачів та її співробітників.
Мінімальна виплата: Заздалегідь не визначена мінімальна сума.
Максимальна виплата : Uber заплатить вам 10 000 доларів за пошук критичних проблем з помилками.
Посилання на Bounty: https://eng.uber.com/bug-bounty-map/
20) Magento
Програма Magneto Bounty дозволяє повідомляти про вразливі місця програмного забезпечення або веб-сайтів Magneto.
Обмеження:
Наступні дослідження безпеки не можуть отримати винагороду
- Потенційна або фактична відмова в обслуговуванні програм та систем Magento.
- Використання експлоїту для перегляду даних без дозволу.
- Автоматизоване / сценарійне тестування веб-форм
Мінімальна виплата : Мінімальна сума виплат для цієї програми баунті складає 100 доларів.
Максимальна виплата : Magento платить максимум 10 000 доларів за пошук критичних помилок.
Посилання на Bounty: https://magento.com/security
21) Perl
Perl також запускає програми з помилками. Якщо хтось знайшов уразливість системи безпеки в Perl, він може зв’язатися з компанією.
Мінімальна виплата: компанія сплачує мінімальну суму 500 доларів США.
Максимальна виплата: Найвища сума, яку надає Perl, становить 1500 доларів.
Посилання на нагороду: http://perldoc.perl.org/perlsec.html#SECURITY-VULNERABILITY-CONTACT-INFORMATION
22) PHP
PHP дозволяє етичним хакерам знаходити помилку на своєму сайті.
Обмеження: Вам потрібно перевірити список уже знайдених помилок. Якщо ви не дотримуєтеся цієї інструкції, ваша помилка не враховується.
Максимальна виплата: мінімальна сума виплат становить 500 доларів США.
Мінімальна виплата: PHP надає максимум 1500 доларів для пошуку важливих помилок.
Посилання на Bounty: https://bugs.php.net/report.php?bug_type=Security
23) Starbucks
Starbucks запускає програму Bounty для захисту своїх клієнтів. Вони заохочують виявляти шкідливу активність у своїх мережах, політиці Інтернету та мобільних додатків.
Мінімальна виплата : мінімальна сума, яку виплачує Starbucks 100 доларів США.
Максимальна виплата: максимальна сума сягає 4000 доларів.
Посилання на Bounty: https://www.starbucks.com/whitehat
24) AT&T
AT&T також має свій канал полювання на помилок. Розробники та експерти з безпеки можуть досліджувати різні платформи, такі як веб-сайти, API та мобільні додатки.
Мінімальна виплата: Мінімальна сума, яку вони сплачують, становить 500 доларів США.
Максимальна виплата : такої верхньої межі виплат не існує.
Посилання на Bounty: https://bugbounty.att.com/
25) LinkedIn
LinkedIn вітає окремих дослідників, які надають свої знання та час, щоб знайти помилки.
Компанія винагородить вас, але ні мінімальна, ні максимальна сума для цього не є виправленням.
Посилання на Bounty: https://security.linkedin.com/posts/2015/private-bug-bounty-program
26) Paytm
Paytm запрошує незалежні групи безпеки або окремих дослідників вивчити його на всіх платформах
Обмеження:
- Повідомляється, що програмне забезпечення застаріле / вразливе без "підтвердження концепції".
- Проблеми з XSS, які стосуються лише застарілих браузерів.
- Сліди стеку, які розкривають інформацію.
- Будь-які проблеми з шахрайством
Мінімальна виплата: Компанія заплатить мінімум 15 доларів за пошук помилок.
Максимальна виплата: ця компанія не встановлює верхню межу.
Посилання на Bounty: https://paytm.com/offer/bug-bounty/
27) Shopify
Програма Whitehi Shopify винагороджує дослідників безпеки за знаходження серйозних вразливих місць безпеки
Мінімальна виплата : Мінімальна сума, яку виплачує Shopify, становить 500 доларів.
Максимальна виплата: Верхньої межі виплати винагороди не встановлено.
Посилання на Bounty: https://www.shopify.in/whitehat
28) Word Press
WordPress також вітає дослідників безпеки, щоб повідомити про виявлені ними помилки.
Мінімальна виплата: WordPress платить мінімум 150 доларів за повідомлення про помилки на їх веб-сайті.
Максимальна виплата: Компанія не встановлює максимальний ліміт для виплат як винагорода.
Посилання на Bounty: https://make.wordpress.org/core/handbook/testing/reporting-bugs/
29) Зомато
Zomato допомагає досліднику безпеки виявляти проблеми, пов’язані з безпекою, на веб-сайті або в додатках компанії.
Мінімальна виплата : Zomato заплатить мінімум 1000 доларів за пошук важливих помилок.
Максимальна виплата: Не існує максимально допустимої суми.
Посилання на Bounty: https://www.zomato.com/security
30) Проект Tor
Програма помилок Tor Project охоплює дві основні служби: мережевий демон та браузер.
Обмеження: Програми OpenSSL виключаються з цієї сфери.
Мінімальна виплата : мінімальна сума, яку вони сплачують, становить 100 доларів.
Максимальна виплата: компанія виплатить вам максимум 4000 доларів.
(Посилання недоступне) Bounty Link: Ця електронна адреса захищена від спам-ботів. Вам потрібно увімкнути JavaScript, щоб переглянути його.
31) Хаккерон
HackerOne - одна з найбільших платформ для координації вразливостей та помилок. Це допомагає компаніям захищати свої споживчі дані, працюючи зі світовим науковим співтовариством для пошуку найбільш актуальних проблем безпеки. Багато відомих компаній, таких як Yahoo, Shopify, PHP, Google, Snapchat та Wink, користуються послугами цього веб-сайту, щоб нагородити дослідників безпеки та етичних хакерів.
Посилання на Bounty: https://hackerone.com/bug-bounty-programs
32) Bugcrowd
Потужна платформа, що з'єднує світову спільноту дослідників безпеки з ринком безпеки. Цей веб-сайт має на меті надати правильний набір і тип дослідників, що підходить відповідно до конкретного веб-сайту, для своїх клієнтів у всьому світі. Хакерам просто потрібно вибрати свої звіти на цьому сайті, і якщо вони зможуть виявити правильні помилки, конкретна компанія виплатить цю суму цій особі.
Посилання на Bounty: https://www.bugcrowd.com/bug-bounty-list/