Fitbit bug bounty პროგრამა ახლა იხდის დაუცველობის ანგარიშებს

  • Oct 19, 2023

შეცდომებზე მონადირეებს შეუძლიათ მოითხოვონ ფულის გადახდა მათი ძალისხმევისთვის ახლა Fitbit საჯარო და კერძო პროგრამები გაერთიანდა.

screen-shot-2018-02-12-at-06-37-10.jpg
მაქს პიქსელი

Fitbit-მა გააფართოვა თავისი საჯარო ხარვეზების სიკეთის პროგრამა, რათა შესთავაზოს ფინანსური წახალისება დაუცველობის აღმოჩენებისთვის.

უსაფრთხოება

  • უაღრესად დაცული დისტანციური მუშაკების 8 ჩვევა
  • როგორ მოვძებნოთ და ამოიღოთ spyware თქვენი ტელეფონიდან
  • საუკეთესო VPN სერვისები: როგორ ადარებენ საუკეთესო ხუთეულს?
  • როგორ გავარკვიოთ, ხართ თუ არა ჩართული მონაცემების დარღვევაში -- და რა უნდა გააკეთოთ შემდეგ

Ოთხშაბათს, ხალხმრავლობა, რომელიც მასპინძლობს Fitbit პროგრამას, გამოაცხადა ფასიანი ჯილდოების ჩართვა 2500 დოლარამდე თითო დაუცველობაზე.

The საჯარო შეცდომების ბონუტის სქემა, რომელიც მასპინძლობს Bugcrowd-ზე, სთხოვს შეცდომების მონადირეებს, ყურადღება გაამახვილონ დაუცველობაზე ვებ დომენებში, როგორიცაა fitbit.com, api.fitbit.com, android-api.fitbit.com და dev.fitbit.com.

საინტერესოა შეცდომები, რომლებმაც შეიძლება ხელი შეუშალონ დაფის და მომხმარებლის პარამეტრებს, Fitbit მაღაზიას, API-ს და აპების სინქრონიზაციას Mac, Windows, iOS და Android ოპერაციული სისტემებისთვის. გარდა ამისა, პროგრამა გაფართოვდა და მოიცავს ახალ Fitbit Ionic სმარტ საათს.

კომპანია გადაიხდის $100-დან $2,500-მდე უსაფრთხოების მოქმედი ხარვეზებისთვის, პოტენციურად ჯვარედინი საიტის ჩათვლით სკრიპტირების (XSS) შეცდომები, დაუცველობა, რომელიც იძლევა კოდის დისტანციური შესრულების საშუალებას და დომენი ან სესია თვითმფრინავის გატაცება.

ფინანსური ჯილდო დამოკიდებულია აღმოჩენილი დაუცველობის სიმძიმეზე, თუმცა წერის მომენტში არ არსებობს მითითებები, თუ როგორ იქნება ეს თანხების გაანგარიშება.

დღემდე, მკვლევარებმა პროგრამის მეშვეობით გამოავლინეს 118 დაუცველობა, მაგრამ ახლა შემოთავაზებული ნაღდი ფულით, შესაძლებელია, რომ ახალი მოთამაშეები შეუერთდნენ ნადირობას.

„როგორც ტარების მოწყობილობების წამყვანი გლობალური ბრენდი, Fitbit ყოველთვის ერთგული იყო დაიცვას მომხმარებელთა კონფიდენციალურობა და დაცული იყოს მონაცემები“, - თქვა მარკ ბოუნმა, Fitbit-ის უსაფრთხოების უფროსმა დირექტორმა. ”ჩვენ მუდმივად ვეძებთ გზებს ჩვენი უსაფრთხოების გასაძლიერებლად და Bugcrowd-თან პარტნიორობით, რათა გამოვიყენოთ მისი გლობალური ქსელი. დაგვეხმარება გავაგრძელოთ ინდუსტრიის წამყვანი უსაფრთხოების პრაქტიკის შემუშავება, ხოლო ჩვენთვის საუკეთესო ჯანმრთელობისა და ფიტნეს გამოცდილების მიწოდება მომხმარებლები."

შეცდომების სიკეთე გახდა უსაფრთხოების მრავალი პროგრამის განუყოფელი ნაწილი. ტექნოლოგიური გიგანტები, მათ შორის Apple, Google, Samsung და Microsoft, ყველა სთავაზობენ ფინანსურ ჯილდოს უსაფრთხოების მკვლევარებს დაუცველობის გამოვლენისთვის.

Იხილეთ ასევე: Zerodium გთავაზობთ $45,000 Linux zero-day დაუცველობისთვის

ინტელი შეუერთდა შეცდომების ბონუტი წრე 2017 წელს კრიტიკული საკითხებისთვის $30,000-მდე გახსნის შეთავაზებებით. მკვლევარებს შეუძლიათ გამოიმუშაონ $7,500-მდე პროგრამული უზრუნველყოფის კრიტიკული შეცდომებისთვის, $10,000-მდე firmware უსაფრთხოების კრიტიკული ხარვეზებისთვის და $30,000-მდე ტექნიკის კრიტიკული ხარვეზებისთვის.

2017 წელს Google-მა დააჯილდოვა დაუცველობაზე მონადირეები $2.9 მილიონი შეცდომების ბონუსების მეშვეობით, 2010 წლიდან დაჯილდოვდა $12 მილიონი.

10 ნაბიჯი თქვენი ციფრული ანაბეჭდის წასაშლელად

წინა და დაკავშირებული გაშუქება

Bug Bounty Hunter-ი ავლენს DJI SSL-ს, პროგრამული უზრუნველყოფის კლავიშები წლების განმავლობაში საჯარო იყო

მოსაზრება: მკვლევარმა გადააგდო $30,000, რათა უზრუნველყოს დრონის მწარმოებლის ცუდი უსაფრთხოების სრული საჯარო გამჟღავნება და იმის გამოვლენა, თუ როგორ არ მთავრდება ყველა ხარვეზზე ნადირობა კარგად.

მკვლევარი ავლენს D-Link ნულოვანი დღის როუტერის 10 ხარვეზს

უსაფრთხოების მკვლევარი ამბობს, რომ ფართო საზოგადოებამ დაუყოვნებლივ უნდა გათიშოს როუტერი, სანამ არ იქნება ხელმისაწვდომი.

ტრიტონმა გამოიყენა ნულოვანი დღის ხარვეზი სამრეწველო სისტემების დასამიზნებლად

Schneider Electric-მა გამოავლინა, თუ როგორ მოახერხა ტროიანმა შუა აღმოსავლეთის ძირითადი ინდუსტრიული სისტემების ჩაშლა.