Bug Bounty Radar: Νέοι στόχοι για ηθικούς χάκερ

Νέες ευκαιρίες για ηθικούς χάκερ

Το Βέλγιο έγινε πρόσφατα παράδεισος για ηθικούς χάκερ με την υιοθέτηση μιας εθνικής συμφωνίας ασφαλούς λιμένα. Αυτό το πλαίσιο επιτρέπει στους ερευνητές ασφαλείας να αναφέρουν τρωτά σημεία χωρίς νομικές συνέπειες, εφόσον ακολουθούν αυστηρούς κανόνες. Οι κατευθυντήριες γραμμές εφαρμόζονται τόσο σε ιδιωτικούς όσο και σε δημόσιους οργανισμούς, με την ελπίδα ότι και άλλες χώρες θα ακολουθήσουν το παράδειγμα του Βελγίου.

Αντιδράσεις και αποκαλύψεις

Σε λιγότερο ευχάριστα νέα, ο ανεξάρτητος ερευνητής Peter Geissler δημοσιοποίησε λεπτομέρειες για ευπάθειες σε εκτυπωτές Lexmark, απορρίπτοντας την προσφορά της εταιρείας. Επίσης, ο ερευνητής Justin Steven αποκάλυψε τεχνικές λεπτομέρειες για ένα σφάλμα ασφαλείας σε widget της Gartner, παρά τις προειδοποιήσεις του προγράμματος bug bounty.

Αντιδράσεις στην κοινότητα ασφαλείας

Η Truffle Security δέχθηκε κριτική για την παρακολούθηση των ευρημάτων των ερευνητών της, με αποτέλεσμα να προσφέρει κρυπτογράφηση end-to-end ως επιλογή. Αυτή η κίνηση δείχνει την αυξανόμενη ευαισθησία στην ιδιωτικότητα στην κοινότητα των ερευνητών ασφαλείας.

Τα νέα προγράμματα bug bounty του Μαρτίου 2023

Τον περασμένο μήνα, εμφανίστηκαν αρκετά νέα προγράμματα bug bounty. Ακολουθεί μια λίστα με τα πιο πρόσφατα:

• ATG (YesWeHack): Δημόσιο πρόγραμμα με μέγιστη ανταμοιβή $4,000. Στόχος είναι η εταιρεία ιπποδρομιών της Σουηδίας.
• Bybit (Bugcrowd): Δημόσιο πρόγραμμα με μέγιστη ανταμοιβή $20,000. Στόχος είναι το bybit.com.
• Grindr (Bugcrowd): Δημόσιο πρόγραμμα με μέγιστη ανταμοιβή $4,000. Στόχος είναι η εφαρμογή κοινωνικής δικτύωσης για την LGBTQ κοινότητα.
• Linktree (Bugcrowd): Δημόσιο πρόγραμμα με μέγιστη ανταμοιβή $7,500. Στόχος είναι το εργαλείο κοινωνικών μέσων της Αυστραλίας.
• Malwarebytes (HackerOne): Δημόσιο πρόγραμμα με μέγιστη ανταμοιβή $2,000. Στόχος είναι οι διαδικτυακές ιδιότητες της εταιρείας.
• Miro (HackerOne): Δημόσιο πρόγραμμα με μέγιστη ανταμοιβή $3,000. Στόχος είναι η πλατφόρμα συνεργατικής λευκοπίνακας.
• Ninja Kiwi Games (Intigriti): Δημόσιο πρόγραμμα με μέγιστη ανταμοιβή $3,750. Στόχος είναι οι δημοφιλείς σειρές παιχνιδιών.
• QNAP: Δημόσιο πρόγραμμα με άγνωστη μέγιστη ανταμοιβή. Στόχος είναι οι συσκευές αποθήκευσης δικτύου.
• Skinport (HackerOne): Δημόσιο πρόγραμμα με μέγιστη ανταμοιβή $6,000. Στόχος είναι η αγορά ψηφιακών αντικειμένων.
• Spin by OXXO (YesWeHack): Δημόσιο πρόγραμμα με μέγιστη ανταμοιβή $3,000. Στόχος είναι η εφαρμογή fintech.
• Xdefi Technologies (HackerOne): Δημόσιο πρόγραμμα με μέγιστη ανταμοιβή $5,000. Στόχος είναι το wallet extension για κρυπτονομίσματα.
• Zabbix (HackerOne): Δημόσιο πρόγραμμα με μέγιστη ανταμοιβή $3,000. Στόχος είναι οι τεχνολογίες παρακολούθησης υποδομών.

Η Google επέκτεινε την υπηρεσία OSS Fuzz, αυξάνοντας τις ανταμοιβές και καλύπτοντας περισσότερες γλώσσες προγραμματισμού. Επίσης, πλήρωσε τη μεγαλύτερη ανταμοιβή της, αξίας £500,000, για ευπάθεια στο Android. Η Intel ανέφερε ότι πλήρωσε $935,000 σε bug bounties το 2022, ενώ το blog της YesWeHack δημοσίευσε ανάλυση για ευπάθειες prototype pollution σε JavaScript.

Τέλος, ο ερευνητής Mike Takahashi δημιούργησε ένα νήμα στο Twitter για το πώς τα AI chatbots όπως το ChatGPT μπορούν να βοηθήσουν τους bug bounty hunters.