漏洞赏金动态

比利时上月通过全国性安全港协议后，已成为道德黑客的乐土。该框架意味着善意的安全研究人员在报告位于该欧洲国家任何系统中的计算机安全漏洞时，只要遵守严格的条件和行为准则，即可免于法律追责。

网络安全比利时中心宣布的指南适用于私营和公共部门组织。比利时在这方面处于领先地位，预计该计划将激励其他国家效仿，并推动企业推出自己的漏洞披露计划。

在不太乐观的漏洞赏金新闻方面，独立研究员Peter Geissler公开披露了影响利盟打印机的系列漏洞细节，而非接受其认为微不足道的奖励。这些可被串联用于远程代码执行攻击的安全漏洞现已修复。

另一个研究人员抵制漏洞赏金条件的案例涉及分析公司Gartner营销组件中的Web安全漏洞。安全研究员Justin Steven希望撰写关于Gartner Peer Insights组件中DOM型XSS漏洞的技术细节，但该分析公司警告称这违反了私有漏洞赏金计划规则。Steven仍公开披露了漏洞技术细节，尽管这意味着他无法获得报酬。

当流行黑客工具XSS Hunter的新托管方披露来自安全研究人员使用统计的遥测数据时，引发了大量争议。Truffle Security因看似“窥探”研究人员成果而面临隐私反弹。为回应批评，该公司开始为使用其XSS Hunter版本的研究人员提供端到端加密选项。

2023年3月最新漏洞赏金计划

过去一个月涌现多个新漏洞赏金计划，最新入围名单包括：

ATG（增强版）

• 项目提供商：YesWeHack
• 项目类型：公开
• 最高奖励：4,000美元
• 概述：ATG提高了中、高和严重级别漏洞的奖励，并将范围扩大到.atg.se及其子域名

Bybit

• 项目提供商：Bugcrowd
• 项目类型：公开
• 最高奖励：20,000美元
• 概述：这家加密货币交易所为最高严重级别漏洞支付5,000至20,000美元

Grindr

• 项目提供商：Bugcrowd
• 项目类型：公开
• 最高奖励：4,000美元
• 概述：这款LGBTQ社区基于位置的社交网络应用将RCE、对生产数据库的任意SQL查询和重大认证绕过缺陷列为潜在严重漏洞

Malwarebytes

• 项目提供商：HackerOne
• 项目类型：公开
• 最高奖励：2,000美元
• 概述：这家反恶意软件公司为确认的漏洞提供50至2,000美元奖励，对Web资产造成RCE风险或导致AWS云基础设施接管的漏洞将获得最高奖励

本月其他漏洞赏金与VDP新闻

• Google通过升级奖励计划和增加支持编程语言数量，扩展了OSS Fuzz代码测试服务
• 英特尔报告去年支付93.5万美元漏洞赏金，2022年处理243个漏洞，其中90个通过赏金计划发现
• YesWeHack博客发布关于检测和利用JavaScript原型污染漏洞的技术研究
• 安全研究员Mike Takahashi在Twitter系列讨论中探索ChatGPT等AI聊天机器人如何协助漏洞赏金猎人