Утечка логов, доступ к критичным файлам и сервисам без авторизации, сессионные и авторизационные токены, исходные коды и репозитории — все это может быть использовано злоумышленниками для успешных атак, поэтому платят за такие штуки неплохо. Я расскажу о полезных утилитах, которые помогут в выявлении уязвимостей.
Эксплоит для проблемы KeySteal помогает похитить все пароли пользователя из Keychain. Интересно, что специалист, обнаруживши…
GitLab открывает свою bug bounty программу для всех желающих и обещает выплачивать до 12 000 долларов за критические баги.
ИБ-специалист заработал 13 300 долларов, обнаружив CSRF-уязвимости на официальном сайте Samsung.
Компания Facebook обновила bug bounty программу. Теперь за баги, которые могут привести к захвату чужого аккаунта, будут пла…
Уязвимость, связанная с платформой Steamworks, позволяла узнать все CD-key для любой игры.
Компания Tesla Motors объявила, что позволит верифицированным ИБ-исследователям искать уязвимости в своих личных автомобилях…
ИБ-специалистам удалось окончательно скомпрометировать криптовалютный кошелек Bitfi, который Джон Макафи называл «невзламыва…
С 2010 года компания Google выплатила исследователям более 12 млн долларов по программе вознаграждения за обнаружение уязвим…
Представители компании HP анонсировали новую bug bounty программу, ориентированную исключительно на принтеры. Компания готов…
Инженеры Yubico были вынуждены принести извинения ИБ-исследователям, обнаружившим уязвимость, которая позволяла похищать ко…
Всего неделю назад разработчики криптовалюты EOS запустили собственную bug bounty программу на платформе HackerOne. Но один…
18-летний студент из Уругвая заработал 36 337 долларов, обнаружив критическую RCE-уязвимость в составе Google App Engine.
Компания Яндекс предложила исследователям изучить сервис каршеринга Яндекс.Драйв на предмет уязвимостей. Состязание будет дл…
Как и было обещано, компания Facebook пополнила свою bug bounty программу новым пунктом. Теперь в приложениях можно искать п…
Компания Netflix обзавелась собственной программой вознаграждения за уязвимости, а разработчики Dropbox пообещали не судитьс…
С момента обнаружения «процессорных» уязвимостей Meltdown и Spectre прошло более двух месяцев, но выпуск патчей еще далек от…
«Лаборатория Касперского» анонсировала расширение своей bug bounty программы и увеличение выплат в 20 раз: вознаграждения со…
Компания Intel анонсировала публично доступную bug bounty программу и предложила всем желающим поискать уязвимости в своем с…
Один из самых известных брокеров уязвимостей на рынке, компания Zerodium, сообщила, что до конца марта 2018 года у ИБ-специа…
Группа специалистов получила более 100 000 долларов от компании Google за создание цепочки эксплоитов, позволяющей удаленно …
Китайская компания DJI, являющаяся одним из лидирующих производителей мультикоптеров для потребительского рынка, вновь подве…
Исследователь заработал 10 000 долларов, обнаружив уязвимость, с помощью которой можно было удалять чужие фотографии из соци…
В 2015 году Google заявила, что выплатит $100 000 тому, кто продемонстрирует цепочку эксплоитов, гарантирующую устойчивую ко…
У одного из крупнейших производителей мультикоптеров для пользовательского рынка, компании DJI, по-прежнему не складывается …
Программы Bug Bounty позволяют хакеру легально заработать, а владельцам сервисов — своевременно получить информацию о найденных уязвимостях. Но если опытный специалист не готов работать на условиях Bug Bounty, то владелец программы может предложить ему взаимовыгодный договор. О юридических нюансах такого метода сотрудничества мы и поговорим в этой статье.
Прошел почти год с того момента, когда Министерство обороны США учредило специальную программу раскрытия уязвимостей. За это…
В каталоге приложений Google Play регулярно обнаруживают малварь. Судя по всему, не помогают ни автоматизированные системы к…
Компания Zerodium, известный брокер уязвимостей, объявила, что до 30 ноября 2017 года намеревается выплатить исследователям …
Разработчики DJI пытаются предотвратить взлом и перепрошивку своих мультикоптеров любой целой. Теперь компания анонсировала …
17-летний житель Уругвая обнаружил баг в Google App Engine, позволявший просматривать внутренние документы Google.
Разработчики Tor Project анонсировали запуск публичной программы вознаграждения за уязвимости.
Что такое обещание награды в юридическом смысле? Почему оно именуется именно как публичное? Какие моменты нужно иметь в виду, если правила Bug Bounty изложены как публичное обещание награды? Давай разбираться.
Разработчики Google рассказали, какие производители поддерживают свои смартфоны в наиболее актуальном состоянии.
Австрийский исследователь Дэвид Винд (David Wind) нашел уязвимость на странице логина интранета Google.
Сегодня мы продолжим обсуждение программ Bug Bounty: на что следует обращать внимание в их условиях и что можно попробовать сделать, чтобы они стали выгоднее. Предыдущий материал был посвящен общей информации про Bug Bounty и изучению нюансов российского законодательства, которые относятся к BB по модели оферты. В этот раз мы рассмотрим вопросы, связанные с конкурсным вариантом Bug Bounty.
Популярнейшая CMS WordPress запускает собственную программу вознаграждения за уязвимости на HackerOne.
Специальная bug bounty акция Project Zero Prize не увенчалась успехом, представители Google гадают, в чем причина.
Независимый исследователь обнаружил опасный баг в GitHub Enterprise, который мог привести к удаленному выполнению произвольн…
Сразу две компании анонсировали интересные изменения в своих bug bounty программах.
Сайт защищен Qrator —
