Bug Bounty Radar // 2023年3月最新漏洞赏金计划

John Leyden
2023年2月28日 19:15 UTC
更新：2023年2月28日 22:17 UTC

漏洞赏金动态

比利时上个月通过全国性安全港协议后，已成为道德黑客的避风港。该框架意味着善意的安全研究人员在报告位于该欧洲国家的任何系统中的计算机安全漏洞时，只要遵守严格的条件和行为规则，就不会面临法律风险。

比利时网络安全中心宣布的指南适用于私营和公共部门组织。比利时在这方面走在前列，但希望该计划能激励其他国家效仿，企业也能推出自己的漏洞披露计划。

在不太友好的漏洞赏金相关新闻中，独立研究员Peter Geissler公开披露了影响Lexmark打印机的一系列漏洞细节，而不是接受他认为微不足道的奖励。这些安全漏洞可被串联起来进行远程代码执行攻击，现已被修复。

另一个研究人员拒绝漏洞赏金条件的例子是分析师公司Gartner营销组件中的Web安全漏洞披露。安全研究员Justin Steven本想撰写Gartner Peer Insights组件中基于DOM的跨站脚本漏洞的技术细节，但该分析公司警告研究员这违反了私有漏洞赏金计划的规则。

Steven仍然公开披露了漏洞的技术细节，尽管这意味着他无法获得发现漏洞的报酬。

当流行黑客工具XSS Hunter的新主机披露了使用其版本工具的安全研究人员的遥测数据（关于发现的漏洞的匿名统计信息）时，出现了不少争议。Truffle Security面临安全研究人员的隐私反弹，他们对其似乎"窥视他们的肩膀"并查看他们的发现感到不满。

为回应批评，Truffle Security开始为使用其XSS Hunter版本的安全研究人员提供端到端加密选项。

2023年3月最新漏洞赏金计划

过去一个月出现了几个新的漏洞赏金计划。以下是最新条目列表：

ATG（增强版）

项目提供方： YesWeHack
项目类型： 公开
最高奖励： 4,000美元
概述： ATG提高了中、高和严重漏洞的奖励，并将其范围扩大到包括.atg.se及其子域名。ATG是一家专门从事赛马的瑞典游戏公司。
查看ATG漏洞赏金页面获取更多详情

Bybit

项目提供方： Bugcrowd
项目类型： 公开
最高奖励： 20,000美元
概述： 这家加密货币交易所为最高严重级别的漏洞支付5,000至20,000美元。范围内唯一目标是bybit.com。
查看Bybit漏洞赏金页面获取更多详情

Grindr

项目提供方： Bugcrowd
项目类型： 公开
最高奖励： 4,000美元
概述： 这款面向LGBTQ社区的基于位置的社交网络和约会应用将RCE、对生产数据库的任意SQL查询和重大身份验证绕过缺陷列为潜在严重漏洞。
查看Grindr漏洞赏金页面获取更多详情

Linktree

项目提供方： Bugcrowd
项目类型： 公开
最高奖励： 7,500美元
概述： 澳大利亚社交媒体工具Linktree在全球拥有3000万用户，已将其"大部分"资产纳入漏洞赏金计划范围。
查看Linktree漏洞赏金页面获取更多详情

Malwarebytes

项目提供方： HackerOne
项目类型： 公开
最高奖励： 2,000美元
概述： 这家反恶意软件公司为确认的漏洞提供50至2,000美元的奖励。对Malwarebytes的Web属性或运行其端点保护软件的客户构成RCE风险，或导致AWS云基础设施被接管的漏洞将获得最高奖励。
查看Malwarebytes漏洞赏金页面获取更多详情

Miro

项目提供方： HackerOne
项目类型： 公开
最高奖励： 3,000美元
概述： 这款协作白板平台提供高达3,000美元的奖励。范围外资产包括Miro的Jira Cards、Miro for Confluence和Miro for Jira Cloud。
查看Miro漏洞赏金页面获取更多详情

Ninja Kiwi Games

项目提供方： Intigriti
项目类型： 公开
最高奖励： 3,750美元
概述： 这家新西兰视频游戏开发商在2021年成功推出首个漏洞赏金计划后，推出了第二个计划。Ninja Kiwi Games创建了Bloons、Bloons TD和SAS: Zombie Assault等系列游戏。
查看Ninja Kiwi Games漏洞赏金页面获取更多详情

QNAP

项目提供方： 独立
项目类型： 公开
最高奖励： 未公开
概述： 这家台湾网络附加存储设备制造商邀请黑客探测其操作系统、应用程序和云服务的漏洞。
查看QNAP漏洞赏金页面获取更多详情

Skinport

项目提供方： HackerOne
项目类型： 公开
最高奖励： 6,000美元
概述： Skinport是一个数字游戏内物品市场，推出了一个计划，为可能导致交易或购买操纵的严重漏洞提供奖励。导致未经授权访问项目服务器或泄露机密数据的漏洞也在范围内。
查看Skinport漏洞赏金页面获取更多详情

Spin by OXXO

项目提供方： YesWeHack
项目类型： 公开
最高奖励： 3,000美元
概述： 范围内包括墨西哥便利店连锁Oxxo的金融科技应用和支付卡Spin的API以及iOS和Android移动应用程序。
查看Spin by OXXO漏洞赏金页面获取更多详情

Xdefi Technologies

项目提供方： HackerOne
项目类型： 公开
最高奖励： 5,000美元
概述： Xdefi是一个用于加密货币和NFT的跨链钱包扩展，范围内资产包括Xdefi Extension（Chromium Web扩展）和应用程序，奖励根据CVSS（通用漏洞评分标准）的严重程度确定。
查看Xdefi漏洞赏金页面获取更多详情

Zabbix

项目提供方： HackerOne
项目类型： 公开
最高奖励： 3,000美元
概述： Zabbix是一家提供开源基础设施监控技术的供应商，为高严重性漏洞提供最高1,000美元，为严重漏洞提供3,000美元。
查看Zabbix漏洞赏金页面获取更多信息

本月其他漏洞赏金和VDP新闻

谷歌通过升级其奖励计划并增加项目覆盖的计算语言数量，扩展了其OSS Fuzz代码测试服务。

这家搜索引擎巨头还为其有史以来最大的漏洞赏金支付了 potentially life-changing的50万英镑（60.5万美元），用于一个与Android相关的漏洞。谷歌对漏洞细节守口如瓶，但ITPro已经缩小了可能性列表。

英特尔报告称，去年支付了93.5万美元的漏洞赏金。这家芯片巨头的英特尔产品安全报告（pdf）称，2022年它处理了243个漏洞，其中90个是由安全研究人员发现并通过其漏洞赏金计划报告的。Security Week报道，该供应商"去年邀请了151名研究人员，比前三年增加了一倍多"。

安全研究人员BitK和SakiiR在YesWeHack博客上发表了一篇深度文章，从技术角度探讨了检测和利用JavaScript中的原型污染漏洞。该研究建立在Portswigger的Gareth Heyes早期关于检测服务器端原型污染类型安全漏洞的工作基础上。

安全研究员Mike Takahashi在Twitter上整理了一个关于热门话题的推文串，探讨了像ChatGPT这样的AI驱动聊天机器人如何可能协助漏洞赏金猎人。Takahashi在社交媒体上的"头脑风暴"可能是正在进行的系列文章的第二部分。

Adam Bannister补充报道

上一期： Bug Bounty Radar // 2023年2月最新漏洞赏金计划