Компания Dropbox сообщила, что выплаты исследователям за найденные уязвимости перешагнули отметку в миллион долларов.
Dropbox учредила собственную программу поиска уязвимостей еще в 2014 году, а в апреле 2015 года открыла для всех желающих bug bounty программу на платформе HackerOne. Таким образом, искать уязвимости в настоящее время можно на основных сайтах компании, в сервисе Paper, а также десктопных и мобильных приложениях.
Награды для ИБ-специалистов варьируются от 216 до 32 000 долларов США, и максимальное вознаграждение можно получить за критические уязвимости, допускающие удаленное выполнение кода и затрагивающие серверы Dropbox.
На сегодняшний день компания выплатила исследователям более миллиона долларов США, включая более 318 000 долларов США через платформу HackerOne (за обнаружение почти 300 уязвимостей) и более 330 000 долларов США в рамках очного хак-мероприятия, прошедшего в Сингапуре в прошлом году.
Помимо простой статистики Dropbox также поделилась списком наиболее интересных отчетов об ошибках, в который вошли уязвимости, которые могли использоваться для доступа к защищенным паролем документам, получения доступа к Paper-документам, доступа к внутренним службам Dropbox через SSRF, хищения содержимого файлов и выполнения атак ImageTragick.
