Di seguito è riportato un elenco curato di programmi di ricompensa di aziende rispettabili
1) Intel
Il programma di taglie di Intel si rivolge principalmente all'hardware, al firmware e al software dell'azienda.
Limitazioni: non include acquisizioni recenti, infrastruttura Web dell'azienda, prodotti di terze parti o qualsiasi cosa relativa a McAfee.
Pagamento minimo: Intel offre un importo minimo di $ 500 per la ricerca di bug nel proprio sistema.
Pagamento massimo: L'azienda paga un massimo di $ 30.000 per il rilevamento di bug critici.
Link Bounty: https://security-center.intel.com/BugBountyProgram.aspx
2) Yahoo
Yahoo ha il suo team dedicato che accetta segnalazioni di vulnerabilità da ricercatori di sicurezza e hacker etici.
Limitazioni: la Società non offre alcuna ricompensa per la ricerca di bug nei blog di Word press di yahoo.net, Yahoo 7 Yahoo Japan, Onwander e Yahoo.
Pagamento minimo: non esiste un limite stabilito su Yahoo per il pagamento minimo.
Pagamento massimo: Yahoo può pagare $ 15000 per rilevare bug importanti nel proprio sistema.
Link Bounty: https://safety.yahoo.com/Security/REPORTING-ISSUES.html
3) Snapchat
Il team di sicurezza di Snapchat esamina tutti i rapporti di vulnerabilità e agisce su di essi mediante divulgazione responsabile. L'azienda, riconosceremo la tua presentazione entro 30 giorni.
Pagamento minimo: Snapchat pagherà un minimo di $ 2000.
Pagamento massimo: il massimo che pagheranno è di $ 15.000.
Link Bounty: https://support.snapchat.com/en-US/i-need-help
4) Cisco
Cisco incoraggia le persone o le organizzazioni che stanno riscontrando un problema di sicurezza del prodotto a segnalarli all'azienda.
Pagamento minimo: l'importo minimo del pagamento di Cisco è $ 100.
Pagamento massimo: l' azienda darà un massimo di $ 2.500 per trovare gravi vulnerabilità.
Link Bounty: https://tools.cisco.com/security/center/resources/security_vulnerability_policy.html
5) Dropbox
Il programma di taglie Dropbox consente ai ricercatori di sicurezza di segnalare bug e vulnerabilità sul servizio di terze parti HackerOne.
Pagamento minimo: l'importo minimo pagato è $ 12.167.
Pagamento massimo: l'importo massimo offerto è $ 32.768.
Link Bounty: https://help.dropbox.com/accounts-billing/security/how-security-works
6) Mela
Quando Apple ha lanciato per la prima volta il suo programma di bug bounty, ha permesso a soli 24 ricercatori di sicurezza. Il framework si è poi espanso per includere più cacciatori di taglie di bug.
L'azienda pagherà $ 100.000 a coloro che possono estrarre dati protetti dalla tecnologia Secure Enclave di Apple.
Pagamento minimo: non esiste un importo limitato fissato da Apple Inc.
Pagamento massimo: la taglia più alta data da Apple è di $ 200.000 per problemi di sicurezza che interessano il suo firmware.
Link Bounty: https://support.apple.com/en-au/HT201220
7) Facebook
Con il programma bug bounty di Facebook gli utenti possono segnalare un problema di sicurezza su Facebook, Instagram, Atlas, WhatsApp, ecc.
Limitazioni: ci sono alcuni problemi di sicurezza che la piattaforma di social networking considera fuori limite.
Pagamento minimo: Facebook pagherà un minimo di $ 500 per una vulnerabilità rivelata.
Pagamento massimo: non esiste un limite massimo fissato da Facebook per il pagamento.
Link Bounty: https://www.facebook.com/whitehat/
8) Google
Tutti i contenuti in .google.com, .blogger, youtube.com sono aperti al programma di ricompensa per la vulnerabilità di Google.
Limitazioni: questo programma di taglie copre solo i problemi di progettazione e implementazione.
Pagamento minimo: Google pagherà un minimo di $ 300 per la ricerca di thread di sicurezza.
Pagamento massimo: Google pagherà la taglia più alta di $ 31,337 per le normali applicazioni Google.
Bounty Link: https://www.google.com/about/appsecurity/reward-program/
9) Quora
Quora offre il programma Bug Bounty a tutti gli utenti e ricercatori per trovare e segnalare le vulnerabilità della sicurezza.
Pagamento minimo: Quora pagherà un minimo di $ 100 per trovare le vulnerabilità sul proprio sito.
Pagamento massimo: il pagamento massimo offerto da questo sito è $ 7000.
Link Bounty: https://engineering.quora.com/Security-Bug-Bounty-Program
10) Mozilla
Mozilla ricompensa per le scoperte di vulnerabilità da parte di hacker etici e ricercatori sulla sicurezza.
Limitazioni: il premio viene offerto solo per bug nei servizi Mozilla, come Firefox, Thunderbird e altre applicazioni e servizi correlati.
Pagamento minimo: l' importo minimo fornito da Firefox è di $ 500.
Pagamento massimo: la Società paga un massimo di $ 5000.
Link Bounty: https://www.mozilla.org/en-US/security/bug-bounty/
11) Microsoft
L'attuale programma di bug bounty di Microsoft è stato lanciato ufficialmente il 23 settembre 2014 e riguarda solo i servizi online.
Limitazioni: la ricompensa di taglie viene data solo per le vulnerabilità critiche e importanti.
Pagamento minimo: Microsoft è pronta a pagare $ 15.000 per la ricerca di bug critici.
Pagamento massimo: l' importo massimo può essere $ 250.000.
Bounty Link: https://technet.microsoft.com/en-us/library/dn425036.aspx
12) OpenSSL
La ricompensa di OpenSSL ti consente di segnalare le vulnerabilità utilizzando la posta elettronica sicura (chiave PGP). Puoi anche segnalare le vulnerabilità al Comitato di gestione di OpenSSL.
Pagamento minimo: la Società paga premi di taglia minima di $ 500.
Pagamento massimo: l'importo massimo fornito dalla società è $ 5000.
Bounty Link: https://www.openssl.org/news/vulnerabilities.html
13) Vimeo
Vimeo accoglie con favore qualsiasi segnalazione di vulnerabilità della sicurezza nei propri prodotti poiché l'azienda paga buoni premi a quella persona.
Pagamento minimo: la Società pagherà un minimo di $ 500
Pagamento massimo: l'importo massimo pagato da questa azienda è di $ 5000.
Bounty Link: https://vimeo.com/about/security
14) Apache
Apache incoraggia gli hacker etici a segnalare le vulnerabilità di sicurezza a una delle loro mailing list di sicurezza private.
Pagamento minimo: l'importo minimo di pagamento fornito da Apache è di $ 500.
Pagamento massimo: questa azienda può offrire un premio massimo di $ 3000.
Link Bounty: https://www.apache.org/security/
15) Twitter
Twitter consente a ricercatori ed esperti di sicurezza di scoprire possibili vulnerabilità di sicurezza nei loro servizi. L'azienda incoraggia le persone a trovare bug.
Pagamento minimo: Twitter paga un importo minimo di $ 140.
Pagamento massimo: l' importo massimo pagato dalla società è di $ 15000.
Bounty Link: https://support.twitter.com/articles/477159
16) Avast
Il programma di taglie Avast premia gli hacker etici e i ricercatori sulla sicurezza che segnalano l'esecuzione di codice in modalità remota, l'escalation dei privilegi locali, il DOS, il bypass dello scanner tra le altre questioni.
Pagamento minimo: Avast può pagarti l'importo minimo di $ 400.
Pagamento massimo: l'importo massimo offerto dalla società è di $ 10.000.
Link Bounty: https://www.avast.com/bug-bounty
17) Paypal
Il servizio di gateway di pagamento Paypal offre anche programmi di bug bounty per i ricercatori di sicurezza.
Limitazioni:
Vulnerabilità dipendenti dalle tecniche di ingegneria sociale, intestazione host
Denial of service (DOS), payload definito dall'utente, spoofing del contenuto senza collegamenti incorporati / HTM e vulnerabilità che richiedono un dispositivo mobile jailbroken, ecc.
Pagamento minimo: Paypal può pagare un minimo di $ 50 per trovare vulnerabilità di sicurezza nel proprio sistema.
Pagamento massimo: l' importo massimo del pagamento fornito da Paypal è $ 10000.
Link Bounty: https://hackerone.com/paypal
18) GitHub
GitHub gestisce un programma di bug bounty dal 2013. Ogni partecipante di successo ha guadagnato punti per le proprie segnalazioni di vulnerabilità a seconda della gravità.
Limitazione: il ricercatore sulla sicurezza riceverà tale ricompensa solo se rispetta i dati degli utenti e non sfrutta alcun problema per produrre un attacco che potrebbe danneggiare l'integrità dei servizi o delle informazioni di GitHub.
Pagamento minimo: Github paga un importo minimo di $ 200 per la ricerca di bug.
Pagamento massimo: Github può pagare $ 10000 per la ricerca di bug critici.
Bounty Link: https://bounty.github.com/
19) Uber
Il programma di premi per la vulnerabilità di Uber si è concentrato principalmente sulla protezione dei dati degli utenti e dei suoi dipendenti.
Pagamento minimo: non esiste un importo minimo predeterminato.
Pagamento massimo: Uber ti pagherà $ 10.000 per trovare problemi di bug critici.
Link Bounty: https://eng.uber.com/bug-bounty-map/
20) Magento
Il programma di ricompensa Magneto ti consente di segnalare le vulnerabilità di sicurezza nel software o nei siti Web Magneto.
Limitazioni:
Le seguenti ricerche sulla sicurezza non sono idonee per la taglia
- Denial of service potenziale o effettivo di applicazioni e sistemi Magento.
- Utilizzo di un exploit per visualizzare i dati senza autorizzazione.
- Test automatizzati / basati su script di moduli web
Pagamento minimo: l' importo minimo del pagamento per questo programma di taglie è di $ 100.
Pagamento massimo: Magento sta pagando un massimo di $ 10.000 per la ricerca di bug critici.
Bounty Link: https://magento.com/security
21) Perl
Perl esegue anche programmi di bug bounty. Se qualcuno rileva una vulnerabilità di sicurezza in Perl, può contattare l'azienda.
Pagamento minimo: la Società paga un importo minimo di $ 500.
Pagamento massimo: l'importo massimo fornito da Perl è $ 1500.
Bounty Link: http://perldoc.perl.org/perlsec.html#SECURITY-VULNERABILITY-CONTACT-INFORMATION
22) PHP
PHP consente agli hacker etici di trovare un bug nel loro sito.
Limitazioni: è necessario controllare l'elenco dei bug già rilevati. Se non segui questa istruzione il tuo bug non viene considerato.
Pagamento massimo: l' importo minimo del pagamento è di $ 500.
Pagamento minimo: PHP fornisce un massimo di $ 1500 per la ricerca di bug importanti.
Link Bounty: https://bugs.php.net/report.php?bug_type=Security
23) Starbucks
Starbucks esegue il programma Bug Bounty per proteggere i propri clienti. Incoraggiano a trovare attività dannose nelle loro reti, nei criteri delle applicazioni web e mobili.
Pagamento minimo: l'importo minimo pagato da Starbucks $ 100.
Pagamento massimo: l'importo massimo arriva fino a $ 4000.
Link Bounty: https://www.starbucks.com/whitehat
24) AT&T
AT&T ha anche il suo canale di ricerca di bug. Gli sviluppatori e gli esperti di sicurezza possono ricercare le varie piattaforme come siti Web, API e applicazioni mobili.
Pagamento minimo: l' importo minimo pagato da loro è di $ 500.
Pagamento massimo: non esiste un limite massimo per il pagamento.
Link Bounty: https://bugbounty.att.com/
25) LinkedIn
LinkedIn dà il benvenuto a singoli ricercatori che contribuiscono con la loro esperienza e il loro tempo per trovare bug.
L'azienda ti ricompenserà, ma né l'importo minimo né quello massimo è una soluzione per questo scopo.
Link Bounty: https://security.linkedin.com/posts/2015/private-bug-bounty-program
26) Paytm
Paytm invita gruppi di sicurezza indipendenti o singoli ricercatori a studiarlo su tutte le piattaforme
Limitazioni:
- Rapporti che affermano che il software è obsoleto / vulnerabile senza una "prova di concetto".
- Problemi XSS che interessano solo i browser obsoleti.
- Stack tracce che rivelano informazioni.
- Eventuali problemi di frode
Pagamento minimo: la Società pagherà un minimo di $ 15 per la ricerca di bug.
Pagamento massimo: questa azienda non fissa il limite superiore.
Link Bounty: https://paytm.com/offer/bug-bounty/
27) Shopify
Il programma Whitehat di Shopify premia i ricercatori di sicurezza per aver trovato gravi vulnerabilità di sicurezza
Pagamento minimo: l'importo minimo pagato da Shopify è di $ 500.
Pagamento massimo: non esiste un limite massimo fisso per il pagamento della taglia.
Link Bounty: https://www.shopify.in/whitehat
28) Word Press
WordPress accoglie anche i ricercatori di sicurezza per segnalare i bug che hanno trovato.
Pagamento minimo: WordPress paga un minimo di $ 150 per la segnalazione di bug sul proprio sito.
Pagamento massimo: la Società non fissa un limite massimo per pagare come taglia.
Link Bounty: https://make.wordpress.org/core/handbook/testing/reporting-bugs/
29) Zomato
Zomato aiuta i ricercatori di sicurezza a identificare i problemi relativi alla sicurezza con il sito Web o le app dell'azienda.
Pagamento minimo: Zomato pagherà un minimo di $ 1000 per la ricerca di bug importanti.
Pagamento massimo: non esiste un importo fisso massimo.
Bounty Link: https://www.zomato.com/security
30) Progetto Tor
Il programma bug bounty di Tor Project copre due dei suoi servizi principali: il suo demone di rete e il browser.
Limitazione: le applicazioni OpenSSL sono escluse da questo ambito.
Pagamento minimo: l'importo minimo pagato da loro è di $ 100.
Pagamento massimo: la Società ti pagherà un massimo di $ 4000.
(Nessun collegamento disponibile) Bounty Link: Questo indirizzo email è protetto dagli spambots. Devi abilitare JavaScript per vederlo.
31) Hackerone
HackerOne è una delle più grandi piattaforme di coordinamento delle vulnerabilità e bug bounty. Aiuta le aziende a proteggere i dati dei consumatori collaborando con la comunità di ricerca globale per trovare i problemi di sicurezza più rilevanti. Molte aziende note come Yahoo, Shopify, PHP, Google, Snapchat e Wink stanno utilizzando il servizio di questo sito Web per ricompensare i ricercatori sulla sicurezza e gli hacker etici.
Link Bounty: https://hackerone.com/bug-bounty-programs
32) Bugcrowd
Una potente piattaforma che collega la comunità di ricercatori sulla sicurezza globale al mercato della sicurezza. Questo sito mira a fornire il giusto mix e il tipo di ricercatore adatto in base al sito web specifico ai propri clienti in tutto il mondo. Gli hacker devono solo selezionare i loro rapporti su questo sito e, se riescono a rilevare i bug corretti, l'azienda specifica pagherà l'importo a quella persona.
Link Bounty: https://www.bugcrowd.com/bug-bounty-list/