Що під капотом в Uklon? Слухай TechPower Podcast 🎧
Вікторія ГорбікТакая жизнь
28 мая 2022, 09:48
2022-05-28
LinkedIn расширяет программу bug bounty и увеличивает вознаграждение за некоторые уязвимости до $15 000
Социальная сеть LinkedIn расширила приложение вознаграждения за ошибки, которые пользователи могут найти на платформе. С 2014 года программа bug bounty работала в LinkedIn и была доступна только по приглашению. Получить его могли специалисты по опыту предыдущей работы и на основе подтвержденной репутации. Теперь заявить об ошибке и получить вознаграждение может любой пользователь платформы. Об этом пишет portswigger.
Компания HackerOne, с которой сотрудничает LinkedIn, для логистики, связанной с оплатой и отслеживанием исследователей bug bounty, приглашает хакеров для проверки веб-домена LinkedIn.com, API LinkedIn, а также мобильных приложений Android и iOS на наличие недостатков в безопасности.
За найденные ошибки на платформе LinkedIn пользователи могут получить:
от $5000 до $15000 за критические уязвимости безопасности;
от $2500 до $5000 за серьезные проблемы;
от $250 и $2500 за недостатки средней тяжести.
Из-за недостатков, находящихся на платформе, принадлежащей Microsoft, «проблемы внедрения и проектирования существенно влияют на данные участников LinkedIn или инфраструктуру LinkedIn». Это межсайтовые сценарии (XSS), подделка межсайтовых запросов (CSRF), инъекция SQL, аутентификация, доступ контроль и уязвимость выполнения кода на стороне сервера.
«Наша команда безопасности стремится обеспечить безопасный и безопасный опыт для наших 830 млн. участников и клиентов, быстро устраняя уязвимые места в безопасности, постоянно улучшая нашу защиту и защищая процесс разработки продукта», — говорится в сообщении LinkedIn в блоге, где объявляется новость.
С момента запуска приватной программы bug bounty за найденные недостатки на платформе и в мобильных приложениях LinkedIn оплатил $250 000 за почти 500 заявок.
«Из-за успеха программы мы решили обнародовать программу и расширить участие для всех, кто хочет сообщить о потенциальных уязвимостях безопасности», — сказали в компании.
LinkedIn, объединяющий бизнес-специалистов друг с другом и возможностями трудоустройства, стал источником двух огромных утечек данных в 2021 году, которые повлияли на 500 миллионов и 700 миллионов пользователей соответственно, но это было связано не с кибератаками, а со скрином общедоступных веб-страниц.
Однако эксперты по безопасности и члены Конгресса США обвинили компанию в Силиконовой долине за взлом в 2012 году. Сначала считалось, что он повлиял на 6,4 млн. паролей пользователей, но в 2016 году оказалось, что он охватывает электронные письма и пароли, принадлежащие 117 млн. пользователей.
УЧАСТЬ В АЗАРТНИХ ІГРАХ МОЖЕ ВИКЛИКАТИ ІГРОВУ ЗАЛЕЖНІСТЬ. ДОТРИМУЙТЕСЯ ПРАВИЛ (ПРИНЦИПІВ) ВІДПОВІДАЛЬНОЇ ГРИ.
Ліцензія видана ТОВ "СЛОТС Ю.ЕЙ." на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 15.09.23 (рішення КРАІЛ №245 від 31.08.2023); ТОВ "СЛОТС Ю.ЕЙ." – на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 26.04.2021 (рішення КРАІЛ №150 від 12.04.2021); ТОВ «СПЕЙСИКС» – на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 08.02.2021 (рішення КРАІЛ №34 від 02.02.2021); ТОВ «ГЕЙМДЕВ» – на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 16.02.2021 (рішення № 47 від 10.02.2021).
LinkedIn заблокировал пост айтишника «за буллинг и харасмент». Ранее он пожаловался в поддержку на другого пользователя, обвинившего украинскую IT-компанию в нацизме