Вікторія Горбік Таке життя 28 травня 2022, 09:48

LinkedIn розширює програму bug bounty та збільшує винагороду за деякі вразливості до $15 000

Соціальна мережа LinkedIn розширила програму винагороди за помилки, які користувачі можуть знайти на платформі. З 2014 року програма bug bounty запрацювала в LinkedIn та була доступна лише за запрошенням. Отримати його могли фахівці з досвідом попередньої роботи та на основі підтвердженої репутації. Тепер заявити про помилку та отримати винагороду може будь-який користувач платформи. Про це пише portswigger.

Залишити коментар

LinkedIn розширює програму bug bounty та збільшує винагороду за деякі вразливості до $15 000

Соціальна мережа LinkedIn розширила програму винагороди за помилки, які користувачі можуть знайти на платформі. З 2014 року програма bug bounty запрацювала в LinkedIn та була доступна лише за запрошенням. Отримати його могли фахівці з досвідом попередньої роботи та на основі підтвердженої репутації. Тепер заявити про помилку та отримати винагороду може будь-який користувач платформи. Про це пише portswigger.

Компанія HackerOne, з якої співпрацює LinkedIn, для логістики, пов’язаної з оплатою та відстеженням дослідників bug bounty, запрошує хакерів для перевірки веб-домену LinkedIn.com, API LinkedIn, а також мобільні додатки Android та iOS на наявність недоліків у безпеці.

За знайдені помилки на платформі LinkedIn користувавчі можуть отримати:

від $5000 до $15000 за критичні вразливості безпеки;
від $2500 до $5000 за проблеми високої серйозності;
від $250 and $2500 за недоліки середньої тяжкості.

Серед недоліків, які находять на платформі, що належить Microsoft, «проблеми впровадження та проєктування, які суттєво впливають на дані членів LinkedIn або інфраструктуру LinkedIn». Це міжсайтові сценарії (XSS), підробка міжсайтових запитів (CSRF), ін’єкція SQL, аутентифікація, доступ контроль і вразливості виконання коду на стороні сервера.

«Наша команда безпеки прагне забезпечити безпечний і безпечний досвід для наших 830 млн учасників і клієнтів, швидко усуваючи вразливі місця в безпеці, постійно покращуючи наш захист та захищаючи процес розробки продукту», — йдеться у повідомленні LinkedIn у блозі, де оголошується новина.

З моменту запуску приватної програми bug bounty за знайдені недоліки на платформі та в мобільних додатках LinkedIn сплатив $250 000 за майже 500 заявок.

«Через успіх програми ми вирішили оприлюднити програму та розширити участь для всіх, хто хоче повідомити про потенційні вразливості безпеки», — сказали в компанії.

LinkedIn, який об’єднує бізнес-фахівців один з одним і можливостями працевлаштування, став джерелом двох величезних витоків даних у 2021 році, які вплинули на 500 мільйонів і 700 мільйонів користувачів відповідно, але це було пов’язано не з кібератаками, а зі скрінуванням загальнодоступних веб-сторінок.

Однак експерти з безпеки та члени Конгресу США звинуватили компанію в Силіконовій долині за злом у 2012 році. Спочатку вважалося, що він вплинув на 6,4 млн паролів користувачів, але у 2016 році виявилося, що він охоплює електронні листи та паролі, що належать 117 млн користувачів.