Ловците на грешки могат да очакват да получат заплащане за усилията си, след като публичните и частните програми на Fitbit се сляха.
Fitbit разшири публичната си програма за награди за грешки, за да предложи финансови стимули за открити уязвимости.
Сигурност
- 8 навика на много сигурни дистанционни работници
- Как да намерите и премахнете шпионски софтуер от телефона си
- Най-добрите VPN услуги: Как се сравняват топ 5?
- Как да разберете дали сте замесени в нарушение на сигурността на данните -- и какво да направите след това
В сряда, Bugcrowd, който хоства програмата Fitbit, обяви включването на платени награди до $2500 за уязвимост.
The публична схема за награди за грешки, хостван на Bugcrowd, моли ловците на грешки да се съсредоточат върху уязвимостите в уеб домейни като fitbit.com, api.fitbit.com, android-api.fitbit.com и dev.fitbit.com.
Интерес представляват грешки, които могат да компрометират таблото за управление и потребителските настройки, магазина Fitbit, API и приложенията за синхронизиране за операционните системи Mac, Windows, iOS и Android. Освен това програмата е разширена, за да включи новия умен часовник Fitbit Ionic.
Компанията ще плати между $100 и $2500 за валидни пропуски в сигурността, потенциално включително междусайтови грешки в скриптове (XSS), уязвимости, които позволяват отдалечено изпълнение на код и домейн или сесия отвличане.
Финансовото възнаграждение зависи от тежестта на откритата уязвимост, въпреки че към момента на писане няма насоки как ще се изчисляват тези суми.
Към днешна дата изследователите са разкрили 118 уязвимости чрез програмата, но с паричните средства, които сега се предлагат, е възможно нови играчи да се присъединят към лова.
„Като водеща световна марка за носими устройства, Fitbit винаги се е ангажирал да защитава поверителността на потребителите и да пази данните в безопасност“, каза Марк Боун, старши директор по сигурността във Fitbit. „Непрекъснато търсим начини да засилим нашата сигурност и да си партнираме с Bugcrowd, за да използваме глобалната си мрежа помогнете ни да продължим да развиваме водещи в индустрията практики за сигурност, като същевременно предоставяме най-добрите здравословни и фитнес изживявания за нашите потребители."
Наградите за грешки са станали неразделна част от много програми за сигурност. Технологични гиганти, включително Apple, Google, Samsung и Microsoft, предлагат финансови награди на изследователите по сигурността за разкриване на уязвимости.
Вижте също: Zerodium предлага $45 000 за уязвимости от нулевия ден на Linux
Intel се присъедини към верига за награди за грешки през 2017 г с начални оферти до $30 000 за критични проблеми. Изследователите могат да спечелят до $7 500 за критични софтуерни грешки, до $10 000 за критични пропуски в сигурността на фърмуера и до $30 000 за критични хардуерни уязвимости.
През 2017 г. Google награди ловци на уязвимости 2,9 милиона долара чрез награди за грешки, като от 2010 г. насам са раздадени близо 12 милиона долара.
10 стъпки за изтриване на вашия цифров отпечатък
Предишно и свързано покритие
Ловецът на грешки разкрива SSL на DJI, ключовете на фърмуера са публични от години
Мнение: Изследователят е отхвърлил 30 000 долара, за да гарантира, че има пълно публично разкриване на лошата сигурност на производителя на дронове и разкрива как не всеки лов на бъгове завършва добре.
Изследователят разкрива 10 недостатъка на рутера за нулев ден на D-Link
Изследователят по сигурността казва, че широката общественост трябва незабавно да изключи своя рутер, докато не са налични корекции.
Triton използва дефекта на нулевия ден, за да се насочи към индустриални системи
Schneider Electric разкри как троянският кон е успял да наруши основните индустриални системи в Близкия изток.