Programma di Bug Bounty di Apple, Facebook, Google e Oneplus

Un programma di bug bounty è un accordo offerto da molti siti web, organizzazioni e sviluppatori software particolarmente prominenti, attraverso il quale gli individui possono ricevere riconoscimenti e, soprattutto, un risarcimento considerevole per la segnalazione di bug, in particolare quelli relativi a exploit e vulnerabilità. Tra i giganti che offrono questo programma ci sono Apple, Facebook, Google e Oneplus.

Programma di Bug Bounty

Apple

Nel 2016 il programma di bug bounty offerto da Apple era limitato a iOS e solo su invito. Apple ha ora aperto il suo programma di bug bounty a tutti i ricercatori di sicurezza, offrendo ricompense di 1 milione di dollari o più. Il programma è aperto al pubblico e Apple ha annunciato che iCloud, iPadOS, macOS, tvOS e watchOS sarebbero stati inclusi nella lista dei bug bounty.

Le ricompense lucrative richiedono anche una descrizione dettagliata del problema da parte del ricercatore, e abbastanza dettagli per consentire ad Apple di riprodurlo. I pagamenti sono determinati dai bug scoperti a diversi livelli, quelli trovati su più piattaforme Apple, specialmente se il problema colpisce i più recenti dispositivi e software Apple, rientrano nei pagamenti più alti.

I bug trovati nella versione beta di un software garantiscono al ricercatore un bonus del 50 percento insieme al prezzo standard della ricompensa. Altri potenziali pagamenti sono per il bypass delle schermate di blocco, l’estrazione di dati da dispositivi bloccati e l’accesso non autorizzato a iCloud. Il pagamento più alto è per i ricercatori che sono in grado di prendere il controllo dell’intero dispositivo senza alcuna interazione da parte dell’utente.

Sebbene il programma di bug bounty di Apple sia un po’ datato, è ancora uno dei programmi di bug bounty più redditizi anche dopo i numerosi nuovi programmi che diversi giganti tecnologici hanno aperto al pubblico fin dall’inizio.

Controlla Qui

Facebook

Facebook è stato molto noto riguardo alle sue politiche sulla privacy, e così è stato spesso nelle notizie. Pertanto, il programma di bug bounty era molto giustificato ed è stato lanciato nel 2011. Chiunque può inviare una segnalazione e ricevere una ricompensa per aiutare a mettere in sicurezza i sistemi di un’azienda.

Il programma di bounty offerto da Facebook è uno dei più antichi e maturi nel settore, ha raggiunto un totale di circa 8 milioni di dollari in pagamenti. L’abuso dei dati è una preoccupazione principale per Facebook e anche gli sviluppatori di terze parti associati a Facebook sono scrutinati per lo stesso motivo, i ricercatori possono quindi segnalare il problema e ricevere una ricompensa di conseguenza.

Controlla Qui

Google

Il programma di ricompensa per bug bounty di Google Android è stato introdotto nel 2015, premiando i ricercatori che trovano e segnalano problemi di sicurezza per aiutare a mantenere sicuro l’ecosistema Android. Questo programma copre le vulnerabilità scoperte nei dispositivi Pixel così come le ultime versioni di Android.

Il bounty più redditizio offerto sotto questo programma è quello di 1 milione di dollari riguardante il chip Titan M di Google, ma la ricompensa non è stata ancora richiesta poiché la distribuzione del bounty ha un aspetto discrezionale e alcune condizioni e termini ad essa associati. Alcuni dei fattori riguardanti il bounty, oltre alla discrezione del comitato, sono:

• Una descrizione dettagliata di come funziona l’exploit.
• Il vettore di attacco iniziale (cioè sfruttamento remoto contro locale).
• Se l’exploit è specifico per dispositivo o build, o se funziona su un ampio insieme di build e dispositivi.
• La quantità di interazione dell’utente richiesta affinché l’exploit funzioni.
• Se l’utente potrebbe ragionevolmente rilevare che un exploit è in corso o completato.
• Quanto è affidabile l’exploit.
• Le catene di exploit trovate su specifiche versioni di anteprima per sviluppatori di Android sono idonee per un ulteriore bonus di ricompensa fino al 50 percento.

Google ha fatto notizia nel campo della cyber-sicurezza poiché nel 2019 da solo ha pagato oltre 1,5 milioni di dollari in bug bounty, dove il pagamento della ricompensa più alto è stato di 161.337 dollari.

Controlla Qui

OnePlus

OnePlus ha due diversi programmi di bug bounty disponibili che offrono pagamenti consistenti, il primo è il centro di risposta alla sicurezza di OnePlus, il programma pagherà tra 50 e 7.000 dollari per i bug di sicurezza che i ricercatori possono trovare all’interno di Oxygen OS. Il bounty è aperto a chiunque, tutto ciò che devi fare è scoprire il bug di OnePlus e poi inviare un modulo online descrivendo il problema insieme a una prova di concetto e il rapporto sul bug non deve essere plagiato.

Il secondo programma di bounty è gestito in collaborazione con una piattaforma di sicurezza chiamata HackerOne. In questo caso, solo ricercatori selezionati di HackerOne testeranno i prodotti OnePlus per potenziali minacce alla sicurezza in un ambiente privato. Anche se si dice che il programma sarà aperto al pubblico nel 2020.

OnePlus è rinomata per fornire un’esperienza sicura e senza difetti, ma alla luce dei fallimenti nei rollout di Android 10 sui dispositivi OnePlus, il programma di bug bounty è molto utile.

Oltre a questi giganti, molte altre aziende tecnologiche stanno lanciando programmi di bug bounty in questi giorni, dove le preoccupazioni per la sicurezza sono ai massimi storici, questo garantisce che le persone vengano compensate per aver superato le falle mantenendo la sicurezza dei sistemi realizzati da queste aziende tecnologiche.

Controlla Qui