在过去的几年里,漏洞悬赏计划在普及和使用方面都有了显著的提升,越来越多的组织正在采用一些举措,以利用大量的研究人员资源来发现和检查在不法分子手中构成潜在威胁的漏洞。
他们的动机不仅是有机会通过安全和负责任地披露某些未知/不安全的漏洞来获得大额资金,而且还有机会获得认可,成为重大安全漏洞的发现者,并阻止大量数据泄露或其他事件。
漏洞悬赏是一种创新的网络安全方法
在传统的网络安全领域,漏洞悬赏计划是一种相对较新的创新方法。它补充了其他解决方案,带来了持续的安全测试,可以发现真正的/高影响的安全漏洞,以及与国际道德黑客社区的合作。
此外,对于缺乏安全专家、缺乏效率、缺乏对网络威胁指数理解的组织来说,漏洞悬赏计划无疑是一种有效回应。没有零风险的事情,但通过参与漏洞悬赏计划,组织可以像攻击者(而非防御者)那样思考。它们为传统的防御性网络战略带来了一种进攻性的方法,将人和道德黑客置于网络战略的核心。
在漏洞悬赏计划中,道德黑客所发现的每一个漏洞都将是真实的,并与组织的安全策略有关,也与保护组织的信息系统及其用户有关。它们也可以提供明确的投资回报——对于开发人员和其他业务团队来说,这是突显网络安全价值的一种透明而明确的方式。
以下是2023年推出的12项值得关注的漏洞悬赏项目。
1. 美国国防部宣布第三轮“黑进五角大楼”计划
今年1月,美国国防部(DoD)透露,计划启动第三轮“黑进五角大楼”(Hack the Pentagon)漏洞悬赏计划,该计划于2016年首次公布,并于2018年启动第二轮。根据一份绩效工作声明草案,“黑进五角大楼”3.0计划的一个关键目标是释放白帽黑客攻击政府的华盛顿总部服务(WHS)设施服务理事会(FSD)设施相关控制系统(FRCS)网络。
声明中写道:“此次项目的总体目标是通过众包的方式获得一批创新信息安全研究人员的支持,以发现漏洞、协调和披露活动,并评估FRCS网络当前的网络安全状况,确定弱点和漏洞,并提供建议,以改善和加强整体安全态势。”
研究人员必须具备多样化的技能,能够进行源代码分析、逆向工程、网络和系统漏洞挖掘。
2. Malwarebytes为确认的漏洞提供酬金
今年3月,反恶意软件供应商Malwarebytes宣布,将为已确认的漏洞提供50至2000美元的酬金。该公司表示,那些对Malwarebytes的网络资产或运行其端点保护软件的客户构成远程代码执行(RCE)风险的行为,或者可能导致接管AWS云基础设施的行为,将能获取最高的报酬。
Malwarebytes方面表示,“现在我们做的不仅仅是恶意软件修复。我们已经进入了网络保护、隐私等领域。Malwarebytes期待着与安全社区合作,找到漏洞,以保障我们的业务和客户的安全。”
3. OpenAI支持开发安全和先进的人工智能
今年4月,ChatGPT的开发者OpenAI推出了一项新的漏洞悬赏计划,以支持安全和先进人工智能的开发。该公司表示,“我们邀请您报告在我们的系统中所发现的漏洞、错误或安全缺陷。通过分享您的发现,可以帮助我们的技术变得更加安全。”
此次,OpenAI选择与领先的漏洞赏金平台Bugcrowd合作来管理提交和奖励过程,该公司表示,这是为了确保所有参与者都能获得简化的体验。
OpenAI写道:“为了激励测试并表示感谢,我们将根据报告问题的严重程度和影响提供现金奖励。奖金从低危发现的200美元到特殊发现的最高2万美元不等。”
4. LayerZero实验室与Immunefi合作促进Web3安全
今年5月,推出了领先的跨链消息传递协议LayerZero的LayerZero实验室团队,宣布与Web3的漏洞赏金和安全服务平台Immunefi合作推出一项新的漏洞悬赏计划。
双方称该计划是软件行业“历史上最大的”,并表明了对安全以及LayerZero生态系统中的开发人员和用户的承诺。LayerZero实验室透露,对于发现最高严重级别漏洞的参与者,他们将为每个新漏洞提供最高1500万美元的奖励。
Immunefi写道,奖励是根据基于Immunefi漏洞严重性分类系统V2.2的漏洞影响进行分配的。这是一个简化的5级量表,分别针对网站/应用程序、智能合约和区块链/ DLT,重点关注所报告漏洞的影响。
5. 第三版The Good Catch计划保护民主党技术供应商
6月,三个政治技术组织——Higher Ground Labs、Trestle Collaborative和Zinc Collective——开放了第三版The Good Catch的申请,这是一个专门针对民主党技术供应商的漏洞悬赏计划。该项目曾在2020年和2022年的选举周期中运行过,本周期的项目将持续到明年的美国总统大选。
参与的技术供应商在Federacy上创建了一个帐户,Federacy是一个为组织管理漏洞悬赏计划的在线程序。每个签约的公司都默认将其项目保密,这意味着只有经过审查的研究人员才会被邀请参加。参与的供应商也可以决定向整个平台开放他们的漏洞悬赏计划。一旦他们的程序启动并运行,供应商就会收到系统上潜在的可利用安全漏洞的报告,对于这些报告,他们需要自己进行验证。
如果需要,该程序可以为供应商提供关于如何支持其安全程序的一般建议,并可以推荐其他咨询公司帮助解决更细微的问题。
6. SquareX邀请漏洞猎人对基于浏览器的网络安全产品进行测试
今年6月,终端安全供应商SquareX宣布了一项漏洞悬赏计划,邀请黑客、安全研究人员、技术人员和学生对其基于浏览器的网络安全产品进行黑客测试,并在产品发布前发现其中的安全漏洞。
为了激励和奖励漏洞猎人,SquareX为成功发现、报告和合格的漏洞提供总计高达25,000美元的奖励。该项目从2023年6月15日持续到2023年7月27日,为期六周,鼓励猎人帮助进行实战测试和强化产品。
SquareX创始人Vivek Ramachandran称,我们邀请全球黑客社区参与这个漏洞悬赏计划,帮助我们发现漏洞。希望通过这样做,我们能够推出一个世界级的网络安全产品,以供消费者安全无忧地使用。
在该项目结束后,SquareX表示,它见证了大量猎人的涌入,他们对其产品发起了数千次自动扫描和有针对性的攻击。然而,即使奖励措施到位,奖金也翻了一番,但在这个过程中尚未发现任何关键漏洞。
7. Swisstronik公司为每个已确认漏洞提供高达3.1万美元的奖励
今年8月,Swisstronik公司宣布推出首个漏洞悬赏计划,每个漏洞的奖励高达3.1万美元。
Swisstronik表示,参与者将帮助公司成为具有监管要求的传统世界与具有高隐私和去中心化标准的Web3世界之间的安全桥梁。如此一来,开发人员可以为更平衡的Web3做出贡献,其中KYC和其他用户验证不会导致个人数据丢失或对集中方的依赖,并有助于推动区块链的整体采用。
8. Protect AI推出首个AI/ML漏洞悬赏平台
今年8月,Protect AI宣布推出“全球首个”人工智能和机器学习(AI/ML)漏洞赏金平台“huntr”。该公司表示,此次发布能够培养一个强大的安全研究人员社区,致力于在AI/ML包、库、框架和模型中发现漏洞并提供修复建议。
Protect AI表示:“作为我们项目的一部分,重要的是所有贡献者都能得到他们应得的认可。一旦漏洞被完全披露,得到维护者的承认,并随后被修补,我们会感谢所有参与其中的贡献者在这个过程中所做的重要工作。”
该平台每月都会举办竞赛,为研究人员提供展示技能和获得奖励的机会。在“huntr”AI/ML漏洞赏金平台上举行的首届比赛专注于“Hugging Face Transforme”,奖金高达5万美元。
9. 为非政府组织和非营利组织提供的免费漏洞搜索程序扩展到整个欧洲
今年7月,Hack4Values宣布扩大其面向欧洲非政府组织和非营利组织的免费漏洞搜索项目。Hack4Values平台于2022年在法国首次推出,是一个由道德黑客和安全研究人员组成的在线社区,致力于为所有非政府组织及其受益者创造一个更安全的数字世界。
该计划为非政府组织和非营利组织提供免费的平台审计,以帮助识别他们面临的安全风险,Hack4Values社区也提供解决方案,帮助这些公司保护他们的数据免受网络威胁。
自成立以来,已有50多名自愿参加Hack4Values的道德黑客为包括大赦国际和反饥饿行动在内的10个非政府组织提供了漏洞悬赏计划。
10. 雅虎选择Integriti来运行众包安全项目
今年9月,雅虎宣布与全球众包安全公司Integriti合作,推出一项新的公共漏洞悬赏计划。该项目覆盖欧洲,向在Integriti平台上注册的7.5万名道德黑客以及任何希望参与的人开放。
雅虎和Integriti表示,酬金的规模与潜在影响成正比。研究人员可以从排名较低的漏洞中获得100至500美元的奖金,从排名较高的漏洞中获得高达1万美元的奖金,从发现的任何关键问题中获得1万至1.5万美元的奖金。该计划还为在选定的“夺旗”(CTF)竞赛中名列前茅的道德黑客团队提供丰厚的现金奖励,此举旨在吸引顶级网络安全人才,并促进道德黑客之间的合作。
雅虎方面表示,通过Integriti扩大我们的漏洞悬赏计划,使我们与全球道德黑客社区有了更大的联系。我们希望通过尽可能多的人的共同努力,为我们的用户提供最好的服务。
该计划涉及近70项资产,包括雅虎的高价值网络域名、API和搜索服务,以及雅虎购物、雅虎邮件、媒体品牌雅虎新闻和雅虎体育。
11. 加密货币交易所Uniswap公布了四级计划
今年9月,去中心化加密货币交易所Uniswap启动了一项新的漏洞悬赏计划,该计划的严重性分为关键、高、中、低/信息四级。Uniswap表示,根据已发现的漏洞和风险资产的严重程度,将提供高达225万美元的奖励。
该计划涵盖了Uniswap部署的智能合约中的漏洞和错误,这些漏洞和错误可以在各种GitHub存储库中找到,包括通用路由器合约代码、Permit2合约代码、V3合约代码和UniswapX合约代码。
12. 谷歌将漏洞悬赏计划扩展至生成式人工智能安全问题
今年10月,谷歌宣布将扩展其漏洞悬赏计划,将生成式人工智能特定的安全问题纳入其中。谷歌方面表示,此次把奖励扩展到针对生成式人工智能的攻击场景,将激励围绕人工智能安全和安全的研究,并揭示潜在问题,最终使人工智能对每个人都更安全。
谷歌还宣布,将扩展其开源安全工作,使有关人工智能供应链安全的信息普遍可发现和可验证。谷歌的工程团队发布了一份有资格获得奖励的人工智能攻击场景列表,这些包括即时攻击、训练数据提取、操纵模型、对抗性扰动和模型盗窃/泄露。
文章翻译自:https://www.csoonline.com/article/657751/12-notable-bug-bounty-programs-launched-in-2023.html
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...