Las 30 mejores empresa de recompensas de errores
A continuación se muestra una lista curada de programas de recompensas de empresas de renombre.
1) Intel
El programa de recompensas de Intel se dirige principalmente al hardware, firmware y software de la compañía.
Limitaciones: No incluye adquisiciones recientes, la infraestructura web de la compañía, productos de terceros ni nada relacionado con McAfee.
Pago mínimo: Intel ofrece una cantidad mínima de $ 500 para encontrar errores en su sistema.
Pago máximo: la empresa paga un máximo de $ 30,000 por detectar errores críticos.
Bounty Link: https://security-center.intel.com/BugBountyProgram.aspx 33
2) Yahoo
Yahoo tiene su equipo dedicado que acepta informes de vulnerabilidad de investigadores de seguridad y piratas informáticos éticos.
Limitaciones: La Compañía no ofrece ninguna recompensa por encontrar errores en yahoo.net , Yahoo 7 Yahoo Japan, Onwander y los blogs Word Press operados por Yahoo.
Pago mínimo: No hay un límite establecido en Yahoo para el pago mínimo.
Pago máximo: Yahoo puede pagar $ 15000 por detectar errores importantes en su sistema.
Bounty Link: https://safety.yahoo.com/Security/REPORTING-ISSUES.html 7
3) Snapchat
El equipo de seguridad de Snapchat revisa todos los informes de vulnerabilidad y actúa sobre ellos mediante divulgación responsable. La empresa, confirmaremos su envío dentro de los 30 días.
Pago mínimo: Snapchat pagará un mínimo de $ 2000.
Pago máximo: el máximo que pagarán es $ 15,000.
Bounty Link: https://support.snapchat.com/en-US/i-need-help 8
4) Cisco
Cisco alienta a las personas u organizaciones que están experimentando un problema de seguridad del producto a informarlos a la empresa.
Pago mínimo: el monto mínimo de pago de Cisco es de $ 100.
Pago máximo: la compañía otorgará un máximo de $ 2,500 para encontrar vulnerabilidades graves.
Bounty Link: https://www.cisco.com/c/en/us/about/security-center/security-vulnerability-policy.html 5
5) Dropbox
El programa de recompensas de Dropbox permite a los investigadores de seguridad reportar errores y vulnerabilidades en el servicio de terceros HackerOne.
Pago mínimo: El monto mínimo pagado es de $ 12,167.
Pago máximo: el monto máximo ofrecido es de $ 32,768.
Bounty Link: https://www.dropbox.com/help/security/report-vulnerability 5
6) manzana
Cuando Apple lanzó por primera vez su programa de recompensas de errores, solo permitió a 24 investigadores de seguridad. El marco luego se expandió para incluir más cazadores de recompensas de errores.
La compañía pagará $ 100,000 a aquellos que puedan extraer datos protegidos por la tecnología Secure Enclave de Apple.
Pago mínimo: no hay una cantidad limitada fijada por Apple Inc.
Pago máximo: la recompensa más alta otorgada por Apple es de $ 200,000 por problemas de seguridad que afectan su firmware.
Bounty Link: https://support.apple.com/en-au/HT201220 6
7) Facebook
Bajo el programa de recompensas de errores de Facebook, los usuarios pueden informar un problema de seguridad en Facebook, Instagram, Atlas, WhatsApp, etc.
Limitaciones: Hay algunos problemas de seguridad que la plataforma de redes sociales considera fuera de límites.
Pago mínimo: Facebook pagará un mínimo de $ 500 por una vulnerabilidad revelada.
Pago máximo: Facebook no establece un límite superior para el pago.
Bounty Link: https://www.facebook.com/whitehat/ 3
8) Google
Todos los contenidos en .google.com, .blogger, youtube.com están abiertos para el programa de recompensas de vulnerabilidad de Google.
Limitaciones: Este programa de recompensas solo cubre problemas de diseño e implementación.
Pago mínimo: Google pagará un mínimo de $ 300 por encontrar hilos de seguridad.
Pago máximo: Google pagará la recompensa más alta de $ 31.337 por las aplicaciones normales de Google.
Bounty Link: https://www.google.com/about/appsecurity/reward-program/ 4
9) Quora
Quora ofrece el programa Bug Bounty a todos los usuarios e investigadores para encontrar e informar vulnerabilidades de seguridad.
Pago mínimo: Quora pagará un mínimo de $ 100 por encontrar vulnerabilidades en su sitio.
Pago máximo: el pago máximo ofrecido por este sitio es de $ 7000.
Bounty Link: https://engineering.quora.com/Security-Bug-Bounty-Program 1
10) Mozilla
Mozilla premia los descubrimientos de vulnerabilidades de hackers éticos e investigadores de seguridad.
Limitaciones: la recompensa se ofrece solo por errores en los servicios de Mozilla, como Firefox, Thunderbird y otras aplicaciones y servicios relacionados.
Pago mínimo: la cantidad mínima dada por Firefox es de $ 500.
Pago Máximo: La Compañía está pagando un máximo de $ 5000.
Bounty Link: https://www.mozilla.org/en-US/security/bug-bounty/ 1
11) Microsoft
El actual programa de recompensas de errores de Microsoft se lanzó oficialmente el 23 de septiembre de 2014 y solo se ocupa de los Servicios en línea.
Limitaciones: La recompensa de recompensa solo se otorga por las vulnerabilidades críticas e importantes.
Pago mínimo: Microsoft está listo para pagar $ 15,000 por encontrar errores críticos.
Pago máximo: el monto máximo puede ser de $ 250,000.
Bounty Link: https://technet.microsoft.com/en-us/library/dn425036.aspx 5
12) OpenSSL
OpenSSL Bounty le permite informar vulnerabilidades utilizando correo electrónico seguro (clave PGP). También puede informar vulnerabilidades al Comité de administración de OpenSSL.
Pago mínimo: la compañía paga recompensas de recompensa mínimas de $ 500.
Pago máximo: la cantidad más alta dada por la compañía es de $ 5000.
Bounty Link: https://www.openssl.org/news/vulnerabilities.html 1
13) Vimeo
Vimeo agradece cualquier informe de vulnerabilidad de seguridad en sus productos, ya que la compañía paga buenas recompensas a esa persona.
Pago mínimo : la compañía pagará un mínimo de $ 500
Pago máximo: el monto máximo pagado por esta empresa es de $ 5000.
Bounty Link: https://vimeo.com/about/security 1
14) Apache
Apache alienta a los piratas informáticos éticos a informar vulnerabilidades de seguridad a una de sus listas de correo de seguridad privada.
Pago mínimo: El pagar cantidad mínima determinada por Apache es $ 500.
Pago máximo: esta empresa puede dar una recompensa máxima de $ 3000.
Bounty Link: https://www.apache.org/security/
15) Twitter
Twitter permite a los investigadores y expertos en seguridad sobre posibles vulnerabilidades de seguridad en sus servicios. La compañía alienta a las personas a encontrar errores.
Pago mínimo: Twitter está pagando un mínimo de $ 140.
Pago máximo: el monto máximo pagado por la compañía es de $ 15000.
Bounty Link: https://support.twitter.com/articles/477159
16) Avast
El programa de recompensas Avast recompensa a los piratas informáticos éticos y a los investigadores de seguridad para informar sobre la ejecución remota de código, escalada de privilegios locales, DOS, omisión de escáner, entre otros problemas.
Pago mínimo: Avast puede pagarle la cantidad mínima de $ 400.
Pago máximo: el monto máximo ofrecido por la compañía es de $ 10,000.
Enlace de recompensa: https://www.avast.com/bug-bounty
17) Paypal
El servicio de pasarela de pago Paypal también ofrece programas de recompensas por errores para investigadores de seguridad.
Limitaciones:
Vulnerabilidades que dependen de técnicas de ingeniería social, encabezado de host
Denegación de servicio (DOS), carga útil definida por el usuario, suplantación de contenido sin enlaces integrados / HTM y vulnerabilidades que requieren un dispositivo móvil con jailbreak, etc.
Pago mínimo: Paypal puede pagar un mínimo de $ 50 por encontrar vulnerabilidades de seguridad en su sistema.
Pago máximo: el monto máximo de pago otorgado por Paypal es de $ 10000.
Bounty Link: https://www.paypal.com/us/webapps/mpp/security-tools/reporting-security-issues
18) GitHub
GitHub’s ejecuta el programa de recompensas de errores desde 2013. Cada participante exitoso obtuvo puntos por sus presentaciones de vulnerabilidad dependiendo de la gravedad.
Limitación: El investigador de seguridad recibirá esa recompensa solo si respeta los datos de los usuarios y no explota ningún problema para producir un ataque que pueda dañar la integridad de los servicios o la información de GitHub.
Pago mínimo: Github paga una cantidad mínima de $ 200 por encontrar errores.
Pago máximo: Github puede pagar $ 10000 por encontrar errores críticos.
Enlace de recompensa: https://bounty.github.com/
19) Uber
El programa de recompensas de vulnerabilidad de Uber se centró principalmente en proteger los datos de los usuarios y sus empleados.
Pago mínimo: no hay una cantidad mínima predeterminada.
Pago máximo: Uber le pagará $ 10,000 por encontrar problemas de errores críticos.
Bounty Link: https://eng.uber.com/bug-bounty/ 1
20) Magento
El programa de recompensas Magneto le permite informar vulnerabilidades de seguridad en el software o sitios web de Magneto.
Limitaciones:
La siguiente investigación de seguridad no es elegible para la recompensa
- Denegación de servicio potencial o real de aplicaciones y sistemas de Magento.
- Uso de un exploit para ver datos sin autorización.
- Pruebas automatizadas / escritas de formularios web
Pago mínimo: El monto de pago mínimo para este programa de recompensas es de $ 100.
Pago máximo: Magento está pagando un máximo de $ 10,000 por encontrar errores críticos.
Bounty Link: https://magento.com/security 1
21) Perl
Perl también está ejecutando programas de recompensas de errores. Si alguien encuentra una vulnerabilidad de seguridad en Perl, puede contactar a la empresa.
Pago mínimo: La Compañía paga un monto mínimo de $ 500.
Pago máximo: la cantidad más alta dada por Perl es de $ 1500.
Bounty Link: http://perldoc.perl.org/perlsec.html#SECURITY-VULNERABILITY-CONTACT-INFORMATION
22) PHP
PHP permite a los piratas informáticos éticos encontrar un error en su sitio.
Limitaciones: debe verificar la lista de errores que ya se encuentran. Si no sigue estas instrucciones, su error no se considera.
Pago máximo: el monto mínimo de pago es de $ 500.
Pago mínimo: PHP otorga un máximo de $ 1500 para buscar errores importantes.
Bounty Link: https://bugs.php.net/report.php?bug_type=Security 1
23) Starbucks
Starbucks ejecuta el programa Bug Bounty para proteger a sus clientes. Animan a encontrar actividad maliciosa en sus políticas de redes, web y aplicaciones móviles.
Pago mínimo: el monto mínimo pagado por Starbucks $ 100.
Pago máximo: el monto máximo sube a $ 4000.
Bounty Link: https://www.starbucks.com/whitehat
24) AT&T
AT&T también tiene su canal de búsqueda de errores. Los desarrolladores y expertos en seguridad pueden investigar las diversas plataformas como sitios web, API y aplicaciones móviles.
Pago mínimo: la cantidad mínima pagada por ellos es de $ 500.
Pago máximo: no existe dicho límite superior para el pago.
Enlace de recompensa: https://bugbounty.att.com/home.php
25) LinkedIn
LinkedIn da la bienvenida a investigadores individuales que aportan su experiencia y tiempo para encontrar errores.
La compañía lo recompensará, pero ni el monto mínimo ni el máximo es una solución para este propósito.
Bounty Link: https://security.linkedin.com/posts/2015/private-bug-bounty-program 1
26) Paytm
Paytm invita a grupos de seguridad independientes o investigadores individuales a estudiarlo en todas las plataformas
Limitaciones:
- Informes que indican que el software está desactualizado / vulnerable sin una ‘Prueba de concepto’.
- Problemas de XSS que afectan solo a los navegadores obsoletos.
- Pila de rastros que revelan información.
- Cualquier problema de fraude
Pago mínimo: La Compañía pagará un mínimo de $ 15 por encontrar errores.
Pago máximo: esta empresa no fija el límite superior.
Bounty Link: https://paytm.com/offer/bug-bounty/ 1
27) Shopify
El programa Whitehat de Shopify recompensa a los investigadores de seguridad por encontrar vulnerabilidades de seguridad severas
Pago mínimo: el monto mínimo pagado por Shopify es de $ 500.
Pago máximo: no hay un límite superior fijo para pagar la recompensa.
Bounty Link: https://www.shopify.in/whitehat 2
28) Word Press
WordPress también da la bienvenida a los investigadores de seguridad para informar sobre los errores que han encontrado.
Pago mínimo: WordPress paga un mínimo de $ 150 por informar de errores en su sitio.
Pago máximo: la compañía no fija un límite máximo para pagar como recompensa.
Bounty Link: https://make.wordpress.org/core/handbook/testing/reporting-bugs/
29) Zomato
Zomato ayuda al investigador de seguridad a identificar problemas relacionados con la seguridad con el sitio web o las aplicaciones de la compañía.
Pago mínimo: Zomato pagará un mínimo de $ 1000 por encontrar errores importantes.
Pago máximo: no hay una cantidad máxima fija.
Bounty Link: https://www.zomato.com/security 4
30) Proyecto Tor
El programa de recompensas de errores de Tor Project cubre dos de sus servicios principales: su demonio de red y su navegador.
Limitación: las aplicaciones OpenSSL están excluidas de este alcance.
Pago mínimo: el monto mínimo pagado por ellos es de $ 100.
Pago Máximo: La Compañía le pagará un máximo de $ 4000.
(No hay enlace disponible) Bounty Link: security@lists.torproject.org
31) Hackerone
HackerOne es una de las mayores plataformas de coordinación de vulnerabilidades y recompensas de errores. Ayuda a las empresas a proteger sus datos de consumo al trabajar con la comunidad de investigación global para encontrar los problemas de seguridad más relevantes. Muchas compañías conocidas como Yahoo, Shopify, PHP, Google, Snapchat y Wink están tomando el servicio de este sitio web para dar una recompensa a los investigadores de seguridad y piratas informáticos éticos.
Bounty Link: https://hackerone.com/bug-bounty-programs 7
32) Bugcrowd
Una plataforma poderosa que conecta la comunidad de investigadores de seguridad global con el mercado de seguridad. Este sitio tiene como objetivo proporcionar a sus clientes de todo el mundo la combinación adecuada y el tipo de investigador adecuado según el sitio web específico. Los piratas informáticos solo necesitan seleccionar sus informes en este sitio, y si pueden detectar errores correctos, la compañía específica pagará el monto a esa persona.
Bounty Link: https://www.bugcrowd.com/bug-bounty-list/ 6