Сегодня 21 июля 2024
18+
MWC 2018 2018 Computex IFA 2018
реклама
Теги → вознаграждение
Быстрый переход

AMD заплатит вам до $30 000, если вы найдёте баг или уязвимость в её продуктах

AMD заключила соглашение с краудсорсинговым поставщиком услуг безопасности Intigriti для запуска программы вознаграждения за обнаружение проблем. Исследователи безопасности и этичные хакеры смогут сообщать об уязвимостях и ошибках в оборудовании, прошивках или программном обеспечении AMD через платформу Intigriti, и получать за это денежное вознаграждение. Размер вознаграждения составит от $500 до $30 000 в зависимости от серьёзности обнаруженной проблемы.

Ранее подобная программа AMD распространялась лишь на узкий круг избранных «придворных» исследователей. Новая инициатива позволит привлечь широкий круг тестировщиков и экспертов к поиску проблем в продуктах AMD. Вознаграждения, предлагаемые AMD на платформе Intigriti, зависят от серьёзности ошибки и категории продукта.

Безусловно, исследователь по-прежнему может отправить отчёт о проблеме непосредственно в AMD через её команду по безопасности продуктов, но этот путь не гарантирует оплаты, хотя в бюллетене по безопасности упоминание о нашедшем ошибку появится.

Программы поиска ошибок (Bug Bounty) много значат для крупных технологических компаний, чьи продукты и услуги широко используются и могут повлиять на миллионы клиентов. В случае AMD достаточно вспомнить уязвимость ко взлому через модуль безопасности TPM у процессоров AMD Zen 2 и Zen 3, уязвимость Inception в процессорах AMD Zen 3 и Zen 4, уязвимость Zenbleed в системы на базе Zen 2, множественные ошибки в библиотеке AMD AGESA для BIOS материнских плат с чипсетами AMD 600-й серии для процессоров Ryzen 7000 или зависание ядра серверных процессоров EPYC 7002 Rome.

Другие крупные корпорации технологического сектора также имеют программы вознаграждения за обнаружение ошибок, помогающие гарантировать, что их системы и продукты защищены от необнаруженных уязвимостей, например, Intel Project Circuit Breaker.

Успешные «охотники за багами» могут неплохо зарабатывать — многие этичные хакеры ещё в 2020 году получали более $90 000 в год. В 2023 году Google выплатила в сумме не менее $10 млн в качестве вознаграждения за обнаружение ошибок, а Polygon Technology выплатила $2 млн исследователю, обнаружившему критическую ошибку.

Белые хакеры обнаружили уязвимостей на $730 тысяч в Chrome, Safari, Windows 11 и софте Tesla

За первый день проходящего в канадском Ванкувере хакатона Pwn2Own белые хакеры заработали более $730 тыс., обнаружив уязвимости в ПО от Google, Apple, Microsoft, Adobe и других разработчиков.

 Источник изображения: Pete Linforth / pixabay.com

Источник изображения: Pete Linforth / pixabay.com

Этичные хакеры нашли уязвимости в ПО Tesla, а также в популярных браузерах Apple Safari, Google Chrome и Microsoft Edge. Команда экспертов Synacktiv взломала электронный блок управления на автомобиле Tesla, за что получила вознаграждение в $200 тысяч и новый автомобиль Tesla Model 3 — этот эксплойт оказался лидером в рейтинге мероприятия. Synacktiv демонстрировала эксплойты систем Tesla на трёх предыдущих мероприятиях — хакеры взламывали модем и информационно-развлекательную систему электромобиля. Уязвимости в системах Tesla также удалось выявить хакеру-одиночке в 2022 году — тогда он получил удалённый контроль над 25 машинами в 13 странах.

Хакер-одиночка Манфред Пол (Manfred Paul) осуществил удалённое выполнение кода через браузер Apple Safari, за что получил вознаграждение в $60 тыс., и показал эксплойты в браузерах Google Chrome и Microsoft Edge, получив дополнительную премию в $42,5 тыс. «Три браузера повержены, остался один», — написал он в соцсети X, возможно, намекая, что ещё не закончил. Вознаграждение в $60 тыс. получил хакер Сынхён Ли (Seunghyun Lee), который реализовал эксплойт для Google Chrome при помощи всего одной ошибки. АбдулАзиз Харири (AbdulAziz Hariri) обнаружил уязвимость Adobe Reader и, обойдя ограничения API, произвёл атаку с выполнением кода. Наконец, команда Devcore Research выявила две ошибки Windows 11 и осуществила локальную атаку с повышением привилегий, получив за это $30 тыс.

По итогам прошлого года в рамках программы обнаружения ошибок HackerOne были выплачены $300 млн — для сравнения, действующие за рамками закона хакеры за тот же период получили на вирусах-вымогателях более $1 млрд.

Google заплатила этичным хакерам $10 млн за выявленные уязвимости в 2023 году

По итогам 2023 года Google выплатила этичным хакерам, которые участвовали в программе по поиску уязвимостей в разных продуктах IT-гиганта, $10 млн. Информация об этом появилась в блоге компании.

 Источник изображения: Lumapoche / Pixabay

Источник изображения: Lumapoche / Pixabay

В общей сложности вознаграждение от Google в прошлом году получили 632 исследователя в сфере информационной безопасности из 68 стран мира. Они занимались поиском уязвимостей в разных продуктах компании, таких как операционные системы Android и Wear OS. Размер самой большой единичной выплаты за отчёт об обнаруженной уязвимости составил $113 337, а всего с момента запуска программы в 2010 году Google выплатила исследователям $59 млн.

 Источник изображения: Google

Источник изображения: Google

В прошлом году Google расширила свою программу по поиску уязвимостей, добавив в неё сервисы на основе генеративных нейросетей, таких как Gemini. В течение всего года в этом сегменте было выявлено 35 ошибок, а общая сумма вознаграждения составила $87 тыс. За обнаруженные уязвимости в Android и аппаратных продуктах Google сумма выплат составила $3,4 млн.

 Источник изображения: Google

Источник изображения: Google

Ошибки, которые были обнаружены в Wear OS и Android Automotive, принесли исследователям $70 тыс. В браузере Chrome за год было выявлено 359 уязвимостей, которые принесли исследователям около $2,1 млн. Ознакомиться с более детальной информацией по данному вопросу можно в блоге Google.

«Яндекс» выплатил белым хакерам 70 млн рублей за 2023 год

По итогам 2023 года «Яндекс» перечислил принявшим участие в программе «Охота за ошибками» этичным хакерам 70 млн рублей — годом ранее эта сумма была около 40 млн рублей, говорится в сообщении пресс-службы компании.

 Источник изображения: yandex.ru/company

Источник изображения: yandex.ru/company

Рост суммы выплат связан с новыми конкурсами с повышенными гонорарами в рамках «Охоты за ошибками», и тем, что число участников программы увеличилось. В минувшем году компания увеличила вознаграждения за обнаруженные уязвимости в её сервисах и запустила ряд конкурсов за поиск ошибок определённых типов — конкурсные выплаты могут оказаться выше обычных в десять раз. В 2024 году фонд выплат «Яндекса» этичным хакерам увеличен до 100 млн рублей.

За 2023 год в программе «Охота за ошибками» приняли участие 528 исследователей безопасности, которые выявили 736 уязвимостей. Выплаты были перечислены за 378 уникальных находок — все они были исправлены. Размеры крупнейших гонораров в 2023 году составили 12 млн, 7,5 млн и 3,7 млн рублей. Они были выплачены в рамках конкурса по поиску критичных уязвимостей. Крупнейшую сумму в 17 млн заработал эксперт, приславший компании 41 уникальный отчёт. Двое других специалистов заработали по 12 млн и 4,3 млн рублей.

Чаще всего поступали сообщения в категории XSS, которой был посвящён отдельный конкурс. Такие уязвимости позволяют обходить политики безопасности сайтов и вставлять на страницы вредоносный код.

«Яндекс» увеличил до 1 млн рублей гонорары за обнаружение ошибок в её умных устройствах

«Яндекс» сообщил о расширении действия программы «Охота за ошибками» для умных устройств — теперь она распространяется на продукты, которые компания выпустила в прошлом году: «Станция Дуо Макс», «Станция Миди» и «ТВ Станция». Размер вознаграждения вырос с 600 тыс. до 1 млн руб.

 Источник изображения: «Яндекс»

Источник изображения: «Яндекс»

Приоритетной целью обновлённой программы компания обозначила поиск ошибок в новых устройствах. До миллиона рублей получат эксперты, которые смогут обойти защиту этих гаджетов и обнаружить критичные уязвимости. Вознаграждение также увеличилось за выявление уязвимостей в представленных ранее продуктах, включая «Станцию Мини с часами» и «Станцию Макс» — конечная сумма будет зависеть от критичности обнаруженной ошибки. Подробная информация представлена на сайте программы.

За 2023 год «Яндекс» удвоил инвестиции в цифровую безопасность своих продуктов до 6 млрд руб. Средства направлены на создание защищённых систем хранения данных, новые решения в области защиты от мошенничества и DDoS-атак, системы управления доступом и прочие направления. В программе «Охота за ошибками» может принять участие любой желающий — для этого нужно найти уязвимость в продукте «Яндекса» и сообщить о ней компании.

Российская компания предложила до $20 млн за уязвимости нулевого дня в iPhone и Android

Малоизвестная российская компания Operation Zero предложила вознаграждение до $20 млн за схемы атак, которые могут скомпрометировать iPhone или устройство под Android.

 Источник изображения: opzero.ru

Источник изображения: opzero.ru

Operation Zero позиционирует себя как российская платформа, скупающая у исследователей из сферы кибербезопасности схемы взлома устройств. Выплаты в размере от $200 тыс. до $20 млн компания готова перечислить за «мобильные эксплойты высшего уровня» в связи с «высоким спросом на рынке» — речь идёт о не известных прежде уязвимостях и ошибках, которые ещё не были исправлены разработчиком.

Operation Zero интересует «полная цепочка» атаки, которая приводит к исполнению вредоносного кода на смартфоне, к повышению привилегий хакера или к обходу проверок безопасности ПО. Полученную информацию компания планирует передать покупателю в «стране, не входящей в НАТО». Отмечается также, что клиентами Operation Zero являются «только российские частные и правительственные организации», а эксплойты «не попадут не в те руки».

Примечательно, что только в сентябре дважды поступали сообщения о том, что Apple закрывала по нескольку уязвимостей нулевого дня кряду, причём две из них под общим кодовым именем BLASTPASS эксплуатировались коммерческим шпионским ПО, а ещё три использовались злоумышленниками.

Майнер-одиночка самостоятельно добыл блок биткоина и заработал $160 тысяч

Одиночный майнер с оборудованием совокупной производительностью 1 Пхеш/с сумел 18 августа самостоятельно добыть блок биткоина и получить за него вознаграждение в размере 6,25 BTC, что по теперешнему курсу составляет более $160 тыс. При данном хешрейте такое событие может происходить раз в восемь лет.

 Источник изображения: MichaelWuensch / pixabay.com

Источник изображения: MichaelWuensch / pixabay.com

Майнер, подключённый к пулу CKPool и обладающий кошельком с адресом bc1q2za4ejga366sn288273pty8trasn5zs4y9hqg6, добыл блок биткоина за номером 803 821. Вероятность такого события считается крайне невысокой — при производительности оборудования в 1 Пхеш/с добыть блок самостоятельно можно один раз за восемь лет. Но на практике такое почему-то происходит чаще.

Известно, что в январе 2022 года блок биткоина сумел добыть майнер-одиночка с оборудованием совокупной производительностью 126 Тхеш/с. За это он получил те же 6,25 биткоина, но тогда курс крупнейшей криптовалюты был $42,8 тыс., и вознаграждение составило примерно $270 тыс. А вероятность такого события составляла 1 к 1,36 млн.

А в последний раз одиночке повезло совсем недавно — в мае этого года. Его оборудование имело суммарную мощность в 750 Тхеш/с, а вознаграждение составило $170 тыс. Вероятность события была также невелика — 1 шанс из 489 тыс.

«Яндекс» увеличил фонд программы поощрения белых хакеров до 100 млн рублей

Общая сумма выплат «Яндекса» в рамках программы «Охота за ошибками», посвящённой поиску уязвимостей в продуктах и инфраструктуре компании, в 2023 году увеличивается до 100 млн руб. В «Яндексе» готовы выплачивать вознаграждения так называемым «белым хакерам», даже если заложенная фондом сумма будет исчерпана.

 Источник изображения: yandex.ru/company

Источник изображения: yandex.ru/company

С начала года сумма выплат составила 35,5 млн руб. Значительную её долю принял январский конкурс, в рамках которого бонусы увеличивались десятикратно за обнаруженные ошибки в категориях Remote Code Execution и «SQL-инъекции». Наиболее крупные премии в этих зачётах составили 12 млн, 7,5 млн и 3,7 млн руб. — величина суммы определяется степенью критичности выявленной уязвимости, простотой эксплуатации и степенью угрозы данным пользователей.

В прошлом году размеры вознаграждений были навсегда увеличены вдвое. Обнаруженные исследователями SQL-инъекции, к примеру, оцениваются до 900 тыс., а не 450 тыс. руб. За 2022 год «Яндекс» выплатил 39,7 млн руб. вознаграждений. Самые крупные премии составили 2 млн, 1,2 млн и 1 млн руб. Всего в программе приняли участие 414 исследователей, от которых поступили 905 отчётов — уникальными и соответствующими правилам программы оказались 288 из них. В прочих случаях это были ошибки, ранее выявленные другими добровольцами или сотрудниками «Яндекса». Премии получили 277 экспертов, чьи уникальные сообщения оказались первыми. Один из участников программы прислал 64 отчёта и получил 43 выплаты. Все обнаруженные ошибки были исправлены.

Программу поиска уязвимостей «Яндекс» запустил в 2012 году — компания была первой в России. Теперь программа «Охота за ошибками» действует в «Яндексе» постоянно.

Майнер-одиночка добыл блок биткоина и заработал $170 тыс. — вероятность этого события была 1 из 489 тысяч

Майнер-одиночка, оборудование которого имеет производительность 750 Тхеш/с, успешно добыл блок биткоина за номером 790 958, сообщил администратор обслуживающего его пула Сkpool. За это майнер получил базовое вознаграждение в 6,25 биткоина, что по текущему курсу ($27,3 тыс.) составляет примерно $170 тыс.

 Источник изображения: André François McKenzie / unsplash.com

Источник изображения: André François McKenzie / unsplash.com

По состоянию на 23 мая хешрейт сети биткоина был 367,07 Эхеш/с (1 Эхеш/с = 1 млн Тхеш/с). При производительности 750 Тхеш/с вероятность добычи блока для майнера-одиночки составляла 1 к 489 тыс. Майнер является участником пула Сkpool, предназначенного специально для одиночек — за его услуги добытчик выплатит комиссию в 2 %, в данном случае 0,125 биткоина или примерно $3,4 тыс. Кроме того, майнеру причитается ещё комиссия за транзакции, которая в этом блоке оказалась 0,249 биткоина или $6,7 тыс.

При текущей сложности майнинга и производительности в 750 Тхеш/с добыча одного блока в среднем должна была занять девять лет, рассказала администрация Сkpool. К тому же сложность добычи биткоина продолжает расти: только с начала года она увеличилась на 40 %, а 18 мая сеть побила очередной рекорд.

Добыча блока биткоина майнером-одиночкой — событие редкое, но не уникальное. Майнеру-одиночке удалось добыть блок в январе 2022 года. Производительность его оборудования была 126 Тхеш/с — он получил те же 6,25 биткоина, но по тогдашнему курсу ($42,8 тыс.) это были примерно $270 тыс. А вероятность такого события составляла 1 к 1,36 млн.

Google выплатила рекордные $12 млн вознаграждений за поиск уязвимостей в 2022 году

Google обнародовала результаты работы своей программы Vulnerability Reward, в рамках которой этичным хакерам выплачиваются вознаграждения за найденные в продукции компании ошибки и уязвимости. За 2022 год компания выплатила более $12 млн за более чем 2900 найденных уязвимостей.

 Источник изображения: security.googleblog.com

Источник изображения: security.googleblog.com

Размер самого большого вознаграждения составил $605 тыс. — в этом исключительном случае хакер обнаружил цепочку эксплойтов, использующих пять отдельных уязвимостей в Android. Этим специалистом оказался человек, известный под ником gzobqq, и он же в 2021 году выявил в Android ещё одну цепочку эксплойтов, которая принесла ему $157 тыс. Оба эти вознаграждения в своё время оказались рекордными за обнаружение ошибок в Android.

Всего по сегменту Android компания выплатила вознаграждений на общую сумму $4,8 млн. Самые активные эксперты сообщили о 200, 150 и 100 уязвимостях соответственно. Google также выплатила около $500 тыс. за 700 уязвимостей, обнаруженных в рамках закрытой программы ACSRP, направленной на повышение безопасности чипсетов под Android. В браузере Chrome были выявлены 363 уязвимости, в платформе Chrome OS — ещё 110, и за них Google заплатила хакерам $4 млн.

Для сравнения, в августе прошлого года Microsoft сообщила, что выплатила $13,7 млн 330 экспертам в 46 странах мира — самая крупная сумма была $200 тыс., а средняя составила $12 тыс. Apple в 2022 году выплатила по аналогичной программе $20 млн при среднем значении вознаграждения в $40 тыс.

«Яндекс» увеличил награды за найденные ошибки и уязвимости: новый максимум — 7,5 млн руб.

«Яндекс» доложил, что в честь 10-летнего юбилея программы поиска ошибок и уязвимостей в продуктах компании размеры выплат до 20 октября будут увеличены в 10 раз. К примеру, критичная ошибка в устройствах с «Алисой» в базовом варианте оценивается в 300 тыс. руб. — эта сумма будет увеличена до 3 млн руб. Максимальное же вознаграждение от «Яндекса» на этот срок достигнет отметки в 7,5 млн руб.

 Источник изображения: yandex.ru

Источник изображения: yandex.ru

Компания напомнила, что ввела подобную программу первой в России — это произошло в 2012 году. Сегодня это стандартная практика для IT-компаний, и с каждым годом число выявленных ошибок увеличивается. С момента запуска в программе приняли участи 4,5 тыс. экспертов, которые помогли выявить более 16 тыс. ошибок в продуктах «Яндекса», включая веб-сервисы, мобильные и десктопные приложения, элементы инфраструктуры и умные устройства, которые выпускаются под маркой компании. Общую сумму вознаграждений, выплаченных этичным хакерам в «Яндексе» не раскрыли.

Обновлённые в рамках конкурса условия будут действовать до 20 октября, после чего программа вернётся к штатному режиму работы. Вознаграждения выплачиваются только за новые ошибки, причём в течение 90 дней после извещения «Яндекса» о выявленной ошибке либо уязвимости рассказывать про неё нельзя никому и нигде. К участию в программе принимаются лица в возрасте от 14 лет, но несовершеннолетним требуется письменное согласие родителей. Компания сотрудничает и с зарубежными экспертами по таким же условиям, только выплаты предлагаются в долларах.


window-new
Soft
Hard
Тренды 🔥
Сбой с CrowdStrike затронул менее 1 % компьютеров с Windows по всему миру 38 мин.
Пострадавшие от сбоя с CrowdStrike системы будут восстанавливаться несколько недель 2 ч.
Глобальный сбой из-за обновления CrowdStrike затронул 8,5 млн ПК на Windows 8 ч.
Новая статья: SCHiM — тень и её человек. Рецензия 9 ч.
Новая статья: Gamesblender № 683: «слив» Space Marine 2, инклюзивный сиквел Cyberpunk и парадоксальная Valve 9 ч.
Вчерашний глобальный сбой Windows не затронул Россию 19 ч.
Proton выпустила ИИ-помощника для электронной почты, который работает на компьютере пользователя 20 ч.
С калькулятором точно надёжнее: Бирмингему грозит счёт на £12 млн за ручной аудит финансов после провального внедрения ERP Oracle Fusion 23 ч.
OpenAI повысит безопасность своих ИИ-моделей с помощью «иерархии инструкций» 20-07 05:41
«Решает проблемы с пугающей скоростью»: новый геймплейный ролик Warhammer 40,000: Space Marine 2 показал в действии разрушительный тяжёлый болтер 20-07 00:24