Ежегодный HackerOne Hack the World Challenge открылся дополнительными денежными вознаграждениями и двойными баллами от спонсоров. У Google есть новая программа Android App Bug Bounty на HackerOne, а GitHub удвоил вознаграждение в своей программе Bug Bounty.
Новая шкала выплат GitHub теперь колеблется от минимума 555 долларов до максимума 20 000 долларов и, как объясняется в объявлении, призвана сохранить структуру вознаграждения в соответствии со структурой вознаграждений в лучших программах вознаграждения за ошибки безопасности.
В частности, GitHub заявляет:
Это увеличение наших выплат согласуется с Hack the World, ежегодным хакерским соревнованием, проводимым HackerOne, которое стартовало сегодня утром (18 октября) и продлится до 18 ноября. В это время участники соревнуются друг с другом, чтобы найти наибольшее количество уязвимостей безопасности на всех сайтах платформы HackerOne. Мы являемся одним из спонсоров, а это означает, что хакеры будут вознаграждены вдвое большим количеством очков репутации на HackerOne при обнаружении ошибок на GitHub в течение следующего месяца! В качестве дополнительного стимула мы также будем вознаграждать все действительные заявки бесплатными неограниченными частными репозиториями на всю жизнь. Увеличенные выплаты вознаграждений никуда не денутся, но неограниченное количество частных репозиториев будет вознаграждено только за отчеты, представленные не позднее 18 ноября!
HackerOne — это платформа для координации уязвимостей и вознаграждения за ошибки, созданная лидерами безопасности из Facebook, Microsoft и Google. Программа Internet Bug Bounty изначально была размещена на HackerOne, а теперь она поддерживает HackerOne Directory в качестве ресурса, курируемого сообществом, для связи с группами безопасности многих самых разных организаций.
Первый конкурс Hack the World был проведен в прошлом году и был расширен для этой второй итерации с участием этих спонсоров, каждый из которых будет предлагать двойные баллы за любые действительные уязвимости, обнаруженные в период Hack the World 2017.
Именно UBER предлагает наивысший приз во время конкурса в виде бонуса в размере 20 тысяч долларов за «самую значительную ошибку конкурса»; удвоить минимальную награду (1000 долларов вместо 500 долларов) за достоверные отчеты от первых 20 новых исследователей, которые никогда ранее не отправляли в UBER; и бонус в размере 5 тысяч долларов для двух лучших хакеров Hack the World, даже если они не участвовали в программе UBER. Coinbase наградит тройку самых серьезных ошибок дополнительными 10 000, 7 500 и 5 000 долларов, в то время как Mapbox предлагает двойную награду за лучший отчет во время конкурса и бонус в 1000 долларов за почетные упоминания. Другие призы от спонсоров могут быть объявлены на протяжении всего конкурса, и участвующие частные программы будут напрямую сообщать хакерам об их участии.
Хотя он не участвует в Hack the World, Google создает программу вознаграждений за безопасность Google Play в партнерстве с HackerOne. Эта новая программа обещает 1000 долларов каждому, кто сможет выявить уязвимости безопасности в участвующих приложениях Google Play. Это собственные приложения Google и другие приложения третьих сторон, включая Tinder, Duolingo, Dropbox, Snapchat и Headspace. Тринадцать приложений, участвующих в настоящее время, были отобраны на основе их популярности среди пользователей Android.
По сути, программа означает, что разработчики могут рассчитывать на бонусное вознаграждение сверх того, что они уже получили, и это должно привлечь больше участников на платформу HackerOne.
Объявляя о новой программе Google, блог HackerOne отмечает:
Клиенты HackerOne уже устранили более 55 000 действительных уязвимостей системы безопасности с помощью сообщества хакеров. С вашей помощью мы устраним еще больше уязвимостей и сделаем Android самой безопасной вычислительной платформой в мире для более чем 2 миллиардов активных устройств.