Jump to content

Search the Community

Showing results for tags 'bug bounty'.

  • Search By Tags

    Type tags separated by commas.
  • Search By Author

Content Type


Forums

  • Supporter area
    • Tools of the Trade
    • Finance transparency
  • MBConf
    • MBConf v1
    • MBConf v2
    • MBConf v3
  • Mente Binária
    • General
    • Computer Architecture
    • Certifications
    • Quantum computing
    • Cryptography
    • Challenges and CTF
    • Hardware Hacking
    • Electronics
    • Conferences
    • Forensics
    • Games
    • Data privacy and laws
    • Code breaking
    • Networking
    • Pentest
    • Speak to us!
    • Software releases
  • Career
    • Study and profession
    • Jobs
  • Reverse Engineering
    • General
    • Malware Analysis
    • Firmware
    • Linux and UNIX-like
    • Windows
  • Programming
    • Assembly
    • C/C++
    • Python
    • Other languages
  • Operating Systems
    • GNU/Linux and UNIX-like
    • Windows
  • Segurança na Internet's Discussão

Categories

  • Tech basics
    • Text comprehension
    • English
    • Mathematics
  • Computing Basics
    • Lógica de Programação
    • Computers Architecture
    • Cryptography
    • Data Structures
    • Network
    • Operating Systems
  • Specifics
    • SO Internals
    • Web
    • Python
    • Javascript
    • Infrastructure
    • Go
    • Reverse Engineering
    • DevOps
    • C/C++
    • Log Analysis

Categories

  • Crackmes
  • Documentation
  • Debuggers
  • PE tools
  • Books
  • Util
  • Packers
  • Unpackers
  • Virtual Machines

Find results in...

Find results that contain...


Date Created

  • Start

    End


Last Updated

  • Start

    End


Filter by number of...

Joined

  • Start

    End


Group


GitHub


Twitter


LinkedIn


Website

Found 5 results

  1. O Microsoft Teams lançou esta semana o Bounty Awards para o Teams Desktop Client. Segundo comunicado da empresa, os prêmios podem chegar a US$ 30 mil, e o cliente de desktop Teams é o primeiro aplicativo no escopo do novo Programa de Recompensas de Apps da plataforma. "A parceria com a comunidade de pesquisa de segurança é uma parte importante da abordagem holística da Microsoft para a defesa contra ameaças à segurança. Como grande parte do mundo passou a trabalhar em casa no ano passado, o Microsoft Teams permitiu que as pessoas permanecessem conectadas, organizadas e colaborassem remotamente. A Microsoft e os pesquisadores de segurança em todo o planeta continuam fazendo parceria para ajudar a proteger os clientes e as tecnologias que usamos para colaboração remota", diz o comunicado sobre o programa de recompensas. O programa inclui 5 prêmios baseados em cenário para vulnerabilidades que têm o maior impacto potencial na privacidade e segurança do cliente. As recompensas para esses cenários variam entre US$ 6 mil a US$ 30 mil. Além disso, serão oferecidas recompensas por outros relatórios de vulnerabilidade válidos para o cliente de desktop do Teams que não se qualifica para os prêmios baseados em cenário. As recompensas para esses relatórios variam de US$ 500 a US$ 15 mil. Relatórios válidos para pesquisas do Microsoft Teams também são elegíveis para um multiplicador de bônus 2x no Programa de Reconhecimento de Pesquisador. Os pontos ganhos contribuem para uma qualificação na lista anual de Pesquisadores de Segurança Mais Valiosos do Microsoft Security Response Center.
  2. O relatório intitulado “2021 Hacker Report”, da plataforma HackerOne, registrou que em 2020 houve um aumento de 63% no número de hackers que enviaram vulnerabilidades para ajudar empresas a evitarem um ataque ou a encontrar um patch para uma falha de segurança. Os hackers ganharam US$ 40 milhões no ano passado enviando essas vulnerabilidades em programas de bug bounty da HackerOne. Assim, a plataforma atingiu a marca de US$ 100 milhões pagos a hackers pela descoberta de falhas de segurança. Desde o lançamento do Hacker Report de 2019, a comunidade HackerOne dobrou de tamanho para mais de 1 milhão de hackers registrados em todo o mundo. O relatório diz que grande parte da comunidade ainda está em fase de aprendizado, mas o aumento no envio de vulnerabilidades no ano passado reflete um crescimento de 143% desde 2018, demonstrando que os hackers estão aumentando suas habilidades e conhecimentos enquanto organizações e setores globais investem cada vez mais nisso. O relatório da HackerOne mostra ainda que 82% da comunidade se define como "hackers de meio período", e 35% têm um emprego em tempo integral. A maioria afirma ainda ser autodidata, mas muitos deles possuem pós-graduação na área de ciência da computação. Além disso, 55% dos membros da comunidade HackerOne têm menos de 25 anos. Apesar da motivação para entrar em programas de bug bounty ser, muitas vezes, financeira, a maioria dos hackers da plataforma estão fazendo isso para aprender e expandir seus conjuntos de habilidades ou para avançar em suas carreiras. O relatório aponta que 33% dos membros da comunidade alavancaram suas habilidades para garantir um emprego. Os hackers também são motivados por um desejo de fazer o bem para o mundo, com 47% deles demonstrando uma intenção de proteger e defender negócios e pessoas de ameaças cibernéticas. Acesse o relatório da HackerOne na íntegra (em inglês). Para quem quiser começar neste mundo, um bom caminho pode ser assistir ao nosso treinamento gratuito de engenharia reversa do zero, o CERO. Apesar de ter um tema definido, o curso cobre elementos básicos da computação necessários na área de segurança.
  3. A Intel corrigiu 57 vulnerabilidades de segurança, incluindo as de alta gravidade que afetavam Drivers de Gráficos. Segundo o BleepingComputer, 40 delas foram encontradas internamente pela empresa, enquanto outras 17 foram relatadas externamente, quase todas por meio do programa de bug bounty da Intel. Os bugs de segurança são detalhados em avisos de segurança publicados pela Intel com atualizações de segurança e funcionais entregues aos usuários por meio do processo Intel Platform Update (IPU). A Intel inclui uma lista de todos os produtos afetados e recomendações para produtos vulneráveis no final de cada comunicado. A empresa fornece detalhes de contato para usuários e pesquisadores que desejam relatar outros problemas de segurança ou vulnerabilidades encontradas em produtos ou tecnologias da marca Intel.
  4. O Google reconheceu vários pesquisadores de segurança que contribuíram para identificar bugs neste mês. Ryoya Tsukasaki foi um deles, que encontrou o bug Use-After-Free (UAF), rastreado como CVE-2020-16037. A descoberta rendeu ao pesquisador uma recompensa de US$ 5 mil. Khalil Zhani, Lucas Pinheiro, Sergei Glazunov, André Bargull e Mark Brand também receberão recompensas em valores a serem definidos. "O acesso aos detalhes e links do bug pode ser mantido restrito até que a maioria dos usuários seja atualizada com uma correção", diz o comunicado. Uma atualização do navegador Chrome corrige oito bugs, sendo quatro deles com classificação de gravidade “alta”. Segundo o ThreatPost, três vulnerabilidade são Use-After-Free (UAF), relacionadas ao uso incorreto de memória dinâmica durante a operação do programa. Elas permitem que um atacante gere um erro na memória do navegador, abrindo a porta para uma invasão e comprometendo o computador host. O quarto bug de alta gravidade impacta o mecanismo de código aberto e de alto desempenho do Google, JavaScript e WebAssembly, chamado V8. O bug é identificado como uma falha de validação de dados insuficiente, que em alguns casos abre alvos para ataques de script entre sites.
  5. Os programas de recompensa para caçadores de bugs (conhecidos como bug bounty) estão se tornando cada vez mais populares. O ZDNet contou a história de alguns pesquisadores que participaram desses programas e obtiveram sucesso, sendo essa uma forma diferente de abordar a cibersegurança. Esses pesquisadores de segurança abordam um alvo da mesma perspectiva de um invasor em potencial. Essa indústria em crescimento permite aos pesquisadores de segurança invadir o software das organizações com a permissão delas. Depois, eles relatam os pontos fracos que descobrem em troca de uma recompensa financeira. A primeira vez que Katie Paxton-Fear encontrou um bug, ela pensou que era apenas sorte. Ela não tinha experiência em segurança cibernética, mas era programadora e desenvolvedora. Ela já encontrou mais 30 bugs de segurança desde então. Esse tipo de programa permite que essas organizações resolvam os problemas antes que os invasores mal-intencionados encontrem os mesmos pontos fracos. Várias empresas executam seus próprios programas de recompensa para caçadores de vulnerabilidades, mas existem também empresas que organizam esses programas para outras companhias que não desejam executá-los internamente. De acordo com o HackerOne, empresa que organiza recompensas por bugs para grandes empresas e agências governamentais, nove hackers já ganharam mais de US$ 1 milhão cada um em recompensas por detectar vulnerabilidades. Outros 13 atingiram US$ 500 mil em ganhos vitalícios e 146 hackers já ganharam US$ 100 mil cada. Tommy DeVoss é um dos pesquisadores que ganhou algumas recompensas pelo trabalho, e ele conta ao ZDNet que era um hacker mal-intencionado que se tornou um caçador de recompensas de insetos, e nesses programas ele procura coisas que mudaram nos sistemas que ele tem como alvo, checando bugs antigos para ver se houve uma mudança que significa que a falha está de volta. Assim, DeVoss usa o conhecimento que antes era voltado para cometer crimes, mas agora para ser recompensado dentro da lei. O HackerOne disse ao ZDNet que a recompensa média paga por uma vulnerabilidade crítica é de US$ 3.650, enquanto o valor médio pago por vulnerabilidade é de US$ 979. Isso tem estimulado muitos outros hackers a entrarem para esse mundo dos caçadores de bugs. Os benefícios para os pesquisadores estão na chance de vasculhar os sistemas de outras pessoas e ser pago por isso, sem descumprir nenhuma lei. Já para as empresas que usam programas de recompensa, o benefício é poder fazer com que muitos hackers experientes examinem seu código exatamente da mesma maneira que os invasores fariam, mas sem o risco. O ZDNet conta a história de mais alguns caçadores de bugs e de empresas que aplicam esses program,as em sua reportagem, em inglês. Leia mais.
×
×
  • Create New...