Lovci chýb môžu očakávať, že dostanú zaplatené za svoje úsilie, keď sa verejné a súkromné programy Fitbit zlúčili.
Fitbit rozšíril svoj verejný program odmien za chyby, aby ponúkal finančné stimuly za objavy zraniteľnosti.
Bezpečnosť
- 8 návykov vysoko bezpečných vzdialených pracovníkov
- Ako nájsť a odstrániť spyware z telefónu
- Najlepšie služby VPN: Ako sa porovnáva 5 najlepších?
- Ako zistiť, či ste zapojený do porušenia ochrany údajov - a čo robiť ďalej
V stredu, Bugcrowd, ktorá je hostiteľom programu Fitbit, oznámila zahrnutie vyplatených odmien až do výšky 2 500 USD za každú zraniteľnosť.
The verejná schéma odmien za chyby, hosťovaná na Bugcrowd, žiada lovcov chýb, aby sa zamerali na zraniteľné miesta vo webových doménach, ako sú fitbit.com, api.fitbit.com, android-api.fitbit.com a dev.fitbit.com.
Zaujímavé sú chyby, ktoré môžu ohroziť dashboard a používateľské nastavenia, obchod Fitbit, API a synchronizačné aplikácie pre operačné systémy Mac, Windows, iOS a Android. Program bol navyše rozšírený o nové inteligentné hodinky Fitbit Ionic.
Spoločnosť zaplatí od 100 do 2 500 USD za platné bezpečnostné chyby, ktoré môžu zahŕňať aj iné stránky chyby skriptovania (XSS), zraniteľnosti, ktoré umožňujú vzdialené spustenie kódu, a doménu alebo reláciu únos.
Finančná odmena závisí od závažnosti zistenej zraniteľnosti, aj keď v čase písania článku neexistujú žiadne usmernenia o tom, ako budú tieto sumy vypočítané.
K dnešnému dňu výskumníci prostredníctvom programu odhalili 118 zraniteľností, ale s hotovosťou, ktorá je teraz v ponuke, je možné, že sa do lovu zapoja noví hráči.
„Ako popredná svetová značka nositeľných zariadení sa Fitbit vždy zaviazal chrániť súkromie spotrebiteľov a uchovávať údaje v bezpečí,“ povedal Marc Bown, senior riaditeľ pre bezpečnosť spoločnosti Fitbit. „Neustále hľadáme spôsoby, ako posilniť našu bezpečnosť a spolupracujeme s Bugcrowd, aby sme využili svoju globálnu sieť Pomôžte nám pokračovať vo vývoji špičkových bezpečnostných postupov a zároveň poskytovať tie najlepšie zážitky v oblasti zdravia a kondície používateľov."
Odmeny za chyby sa stali neoddeliteľnou súčasťou mnohých bezpečnostných programov. Technologickí giganti vrátane Apple, Google, Samsung a Microsoft ponúkajú finančné odmeny výskumníkom v oblasti bezpečnosti za odhalenie zraniteľností.
Pozri tiež: Zerodium ponúka 45 000 dolárov za zraniteľnosti Linux zero-day
Intel sa pridal k bug bounty okruh v roku 2017 s otváracími ponukami až do 30 000 USD na kritické problémy. Výskumníci môžu zarobiť až 7 500 USD za kritické softvérové chyby, až 10 000 USD za kritické bezpečnostné chyby firmvéru a až 30 000 USD za kritické hardvérové chyby.
V roku 2017 spoločnosť Google ocenila lovci zraniteľností 2,9 milióna dolárov prostredníctvom odmien za chyby, pričom od roku 2010 sa udeľuje takmer 12 miliónov dolárov.
10 krokov na vymazanie digitálnej stopy
Predchádzajúce a súvisiace pokrytie
Bug bounty hunter odhaľuje DJI SSL, kľúče firmvéru sú verejné už roky
Stanovisko: Výskumník vyhodil 30 000 dolárov, aby sa zaistilo úplné verejné odhalenie slabej bezpečnosti výrobcu dronov a odhalenie toho, že nie každý lov za chyby končí dobre.
Výskumník odhaľuje 10 chýb nultého dňa smerovača D-Link
Bezpečnostný výskumník hovorí, že široká verejnosť by mala okamžite odpojiť svoj smerovač, kým nebudú dostupné záplaty.
Triton využil zero-day chybu na zacielenie na priemyselné systémy
Schneider Electric odhalil, ako sa trójskemu koňovi podarilo narušiť hlavné priemyselné systémy na Blízkom východe.