Xakep #305. Многошаговые SQL-инъекции
Sony запустила официальную bug bounty программу для PlayStation Network и игровых консолей PlayStation 4. Цель данной программы, как и любой другой инициативны buy bounty, заключается в том, чтобы поощрять ИБ-исследователей за обнаружение уязвимостей в самих устройствах и на сайтах, связанных с PlayStation. Таким образом Sony надеется исправлять баги быстрее, чем их начнут эксплуатировать злоумышленники.
Компания сообщает, что готова выплачивать ИБ-экспертам от 100 до 50 000 долларов (и даже больше) за уязвимости в своих продуктах. Проблемы предлагается искать в самих игровых консолях PlayStation 4, их операционной системе, официальных аксессуарах, а также в PlayStation Network и на соответствующих сайтах.
Bug bounty программа производителя открыта для всех желающих и запущена на платформе HackerOne, которой также пользуются другие ведущие компании, включая PayPal, Twitter, Snapchat, Shopify, General Motors, Slack и Uber. При этом отмечается, что программа работает с прошлого года, просто до последнего времени попасть в нее можно было только по специальному приглашению.
Sony стала третьей и последней из крупнейших игровых компаний, запустившей собственную программу по поиску уязвимостей. Первой в этой области была Nintendo, открывшая bug bounty программу еще в 2016 году. В январе 2020 года за ней последовала Microsoft, представив собственную инициативу по поиску уязвимостей в игровой платформе Xbox.
Хотя Sony решилась учредить bug bounty последней, но при этом компания предлагает самые большие вознаграждения за баги. Так, Microsoft и Nintendo обещают исследователям не более 20 000 долларов, тогда как Sony обещает до 50 000 долларов.