A continuación se muestra una lista seleccionada de programas de recompensas por empresas de renombre
1) Intel
El programa de recompensas de Intel se dirige principalmente al hardware, firmware y software de la empresa.
Limitaciones: no incluye adquisiciones recientes, la infraestructura web de la empresa, productos de terceros ni nada relacionado con McAfee.
Pago mínimo: Intel ofrece una cantidad mínima de $ 500 para encontrar errores en su sistema.
Pago máximo: la empresa paga un máximo de $ 30,000 por detectar errores críticos.
Enlace de recompensa: https://security-center.intel.com/BugBountyProgram.aspx
2) Yahoo
Yahoo tiene su equipo dedicado que acepta informes de vulnerabilidad de investigadores de seguridad y piratas informáticos éticos.
Limitaciones: La Compañía no ofrece ninguna recompensa por encontrar errores en los blogs de prensa de Word de yahoo.net, Yahoo 7 Yahoo Japón, Onwander y Yahoo.
Pago mínimo: No hay un límite establecido en Yahoo para el pago mínimo.
Pago máximo: Yahoo puede pagar $ 15000 por detectar errores importantes en su sistema.
Enlace de recompensa: https://safety.yahoo.com/Security/REPORTING-ISSUES.html
3) Snapchat
El equipo de seguridad de Snapchat revisa todos los informes de vulnerabilidad y actúa sobre ellos mediante la divulgación responsable. La empresa acusará recibo de su envío en un plazo de 30 días.
Pago mínimo: Snapchat pagará un mínimo de $ 2000.
Pago máximo: El máximo que pagarán es de $ 15,000.
Enlace de recompensa: https://support.snapchat.com/en-US/i-need-help
4) Cisco
Cisco alienta a las personas u organizaciones que experimenten un problema de seguridad del producto a que lo informen a la empresa.
Pago mínimo: el monto mínimo de pago de Cisco es de $ 100.
Pago máximo: la empresa otorgará un máximo de $ 2,500 para encontrar vulnerabilidades graves.
Enlace de recompensa: https://tools.cisco.com/security/center/resources/security_vulnerability_policy.html
5) Dropbox
El programa de recompensas de Dropbox permite a los investigadores de seguridad informar errores y vulnerabilidades en el servicio de terceros HackerOne.
Pago mínimo: La cantidad mínima pagada es $ 12,167.
Pago máximo: la cantidad máxima ofrecida es $ 32,768.
Enlace de recompensa: https://help.dropbox.com/accounts-billing/security/how-security-works
6) manzana
Cuando Apple lanzó por primera vez su programa de recompensas por errores, solo permitió 24 investigadores de seguridad. Luego, el marco se expandió para incluir más cazarrecompensas de errores.
La compañía pagará $ 100,000 a quienes puedan extraer datos protegidos por la tecnología Secure Enclave de Apple.
Pago mínimo: Apple Inc. no fija una cantidad limitada.
Pago máximo: la recompensa más alta otorgada por Apple es de $ 200,000 por problemas de seguridad que afectan su firmware.
Enlace de recompensa: https://support.apple.com/en-au/HT201220
7) Facebook
Bajo el programa de recompensas de errores de Facebook, los usuarios pueden informar un problema de seguridad en Facebook, Instagram, Atlas, WhatsApp, etc.
Limitaciones: hay algunos problemas de seguridad que la plataforma de redes sociales considera fuera de los límites.
Pago mínimo: Facebook pagará un mínimo de $ 500 por una vulnerabilidad revelada.
Pago máximo: Facebook no ha fijado un límite superior para el pago.
Enlace de recompensa: https://www.facebook.com/whitehat/
8) Google
Todos los contenidos de .google.com, .blogger, youtube.com están abiertos al programa de recompensas por vulnerabilidades de Google.
Limitaciones: este programa de recompensas solo cubre problemas de diseño e implementación.
Pago mínimo: Google pagará un mínimo de $ 300 por encontrar hilos de seguridad.
Pago máximo: Google pagará la recompensa más alta de $ 31,337 por las aplicaciones normales de Google.
Enlace de recompensa: https://www.google.com/about/appsecurity/reward-program/
9) Quora
Quora ofrece el programa Bug Bounty a todos los usuarios e investigadores para encontrar e informar vulnerabilidades de seguridad.
Pago mínimo: Quora pagará un mínimo de $ 100 por encontrar vulnerabilidades en su sitio.
Pago máximo: el pago máximo ofrecido por este sitio es de $ 7000.
Enlace de recompensa: https://engineering.quora.com/Security-Bug-Bounty-Program
10) Mozilla
Mozilla recompensa por los descubrimientos de vulnerabilidades por parte de hackers éticos e investigadores de seguridad.
Limitaciones: la recompensa se ofrece solo por errores en los servicios de Mozilla, como Firefox, Thunderbird y otras aplicaciones y servicios relacionados.
Pago mínimo: la cantidad mínima otorgada por Firefox es de $ 500.
Pago máximo: La Compañía paga un máximo de $ 5000.
Enlace de recompensa: https://www.mozilla.org/en-US/security/bug-bounty/
11) Microsoft
El programa actual de recompensas por errores de Microsoft se lanzó oficialmente el 23 de septiembre de 2014 y solo se ocupa de los servicios en línea.
Limitaciones: la recompensa de recompensa solo se otorga por las vulnerabilidades críticas e importantes.
Pago mínimo: Microsoft está dispuesto a pagar $ 15,000 por encontrar errores críticos.
Pago máximo: la cantidad máxima puede ser de $ 250,000.
Enlace de recompensa: https://technet.microsoft.com/en-us/library/dn425036.aspx
12) OpenSSL
La recompensa de OpenSSL le permite informar vulnerabilidades mediante correo electrónico seguro (clave PGP). También puede informar las vulnerabilidades al Comité de Gestión de OpenSSL.
Pago mínimo: la Compañía paga recompensas de recompensa mínima de $ 500.
Pago máximo: la cantidad más alta otorgada por la empresa es de $ 5000.
Enlace de recompensa: https://www.openssl.org/news/vulnerabilities.html
13) Vimeo
Vimeo agradece cualquier informe de vulnerabilidad de seguridad en sus productos, ya que la empresa paga buenas recompensas a esa persona.
Pago mínimo : la Compañía pagará un mínimo de $ 500
Pago máximo: la cantidad máxima que paga esta empresa es de $ 5000.
Enlace de recompensa: https://vimeo.com/about/security
14) Apache
Apache anima a los piratas informáticos éticos a informar las vulnerabilidades de seguridad a una de sus listas de correo de seguridad privada.
Pago mínimo: La paga mínima cantidad dada a cabo por Apache es $ 500.
Pago máximo: esta empresa puede otorgar una recompensa máxima de $ 3000.
Enlace de recompensa: https://www.apache.org/security/
15) Twitter
Twitter permite a los investigadores y expertos en seguridad sobre posibles vulnerabilidades de seguridad en sus servicios. La empresa anima a las personas a encontrar errores.
Pago mínimo: Twitter paga una cantidad mínima de $ 140.
Pago máximo: La cantidad máxima que paga la empresa es de $ 15000.
Enlace de recompensa: https://support.twitter.com/articles/477159
16) Avast
El programa de recompensas de Avast recompensa a los piratas informáticos éticos y a los investigadores de seguridad por informar sobre la ejecución remota de código, escalada de privilegios locales, DOS, omisión del escáner, entre otros problemas.
Pago mínimo: Avast puede pagarle la cantidad mínima de $ 400.
Pago máximo: la cantidad máxima ofrecida por la empresa es de $ 10,000.
Enlace de recompensa: https://www.avast.com/bug-bounty
17) Paypal
El servicio de pasarela de pago Paypal también ofrece programas de recompensas por errores para investigadores de seguridad.
Limitaciones:
Vulnerabilidades que dependen de técnicas de ingeniería social, Encabezado de host
Denegación de servicio (DOS), carga útil definida por el usuario, suplantación de contenido sin enlaces integrados / HTM y vulnerabilidades que requieren un dispositivo móvil con jailbreak, etc.
Pago mínimo: Paypal puede pagar un mínimo de $ 50 por encontrar vulnerabilidades de seguridad en su sistema.
Pago máximo: La cantidad máxima de pago otorgada por Paypal es de $ 10000.
Enlace de recompensa: https://hackerone.com/paypal
18) GitHub
El programa de recompensas de errores de GitHub desde 2013. Cada participante exitoso ganó puntos por sus envíos de vulnerabilidades dependiendo de la gravedad.
Limitación: el investigador de seguridad recibirá esa recompensa solo si respeta los datos de los usuarios y no aprovecha ningún problema para producir un ataque que pueda dañar la integridad de los servicios o la información de GitHub.
Pago mínimo: Github paga una cantidad mínima de $ 200 por encontrar errores.
Pago máximo: Github puede pagar $ 10000 por encontrar errores críticos.
Enlace de recompensa: https://bounty.github.com/
19) Uber
El programa de recompensas por vulnerabilidades de Uber se centró principalmente en proteger los datos de los usuarios y sus empleados.
Pago mínimo: no hay una cantidad mínima predeterminada.
Pago máximo: Uber le pagará $ 10,000 por encontrar problemas críticos de errores.
Enlace de recompensa: https://eng.uber.com/bug-bounty-map/
20) Magento
El programa de recompensas Magneto le permite informar vulnerabilidades de seguridad en el software o sitios web de Magneto.
Limitaciones:
Seguir la investigación de seguridad no es elegible para la recompensa.
- Denegación de servicio potencial o real de aplicaciones y sistemas de Magento.
- Uso de un exploit para ver datos sin autorización.
- Prueba automatizada / con guión de formularios web
Pago mínimo: la cantidad mínima de pago para este programa de recompensas es de $ 100.
Pago máximo: Magento paga un máximo de $ 10,000 por encontrar errores críticos.
Enlace de recompensa: https://magento.com/security
21) Perl
Perl también está ejecutando programas de recompensas por errores. Si alguien encuentra una vulnerabilidad de seguridad en Perl, puede contactar a la empresa.
Pago mínimo: La Compañía paga una cantidad mínima de $ 500.
Pago máximo: la cantidad más alta otorgada por Perl es $ 1500.
Enlace de recompensa: http://perldoc.perl.org/perlsec.html#SECURITY-VULNERABILITY-CONTACT-INFORMATION
22) PHP
PHP permite a los piratas informáticos éticos encontrar un error en su sitio.
Limitaciones: debe verificar la lista de errores que ya están encontrando. Si no sigue estas instrucciones, su error no se considera.
Pago máximo: la cantidad mínima de pago es de $ 500.
Pago mínimo: PHP otorga un máximo de $ 1500 para buscar errores importantes.
Enlace de recompensa: https://bugs.php.net/report.php?bug_type=Security
23) Starbucks
Starbucks ejecuta el programa Bug Bounty para proteger a sus clientes. Animan a encontrar actividad maliciosa en sus redes, políticas de aplicaciones web y móviles.
Pago mínimo: el monto mínimo pagado por Starbucks $ 100.
Pago máximo: la cantidad máxima asciende a $ 4000.
Enlace de recompensa: https://www.starbucks.com/whitehat
24) AT&T
AT&T también tiene su canal de búsqueda de errores. Los desarrolladores y expertos en seguridad pueden investigar las diversas plataformas, como sitios web, API y aplicaciones móviles.
Pago mínimo: la cantidad mínima pagada por ellos es de $ 500.
Pago máximo: no existe tal límite superior para el pago.
Enlace de recompensa: https://bugbounty.att.com/
25) LinkedIn
LinkedIn da la bienvenida a investigadores individuales que contribuyen con su experiencia y tiempo para encontrar errores.
La empresa lo recompensará, pero ni la cantidad mínima ni la máxima son una solución para este propósito.
Enlace de recompensa: https://security.linkedin.com/posts/2015/private-bug-bounty-program
26) Paytm
Paytm invita a grupos de seguridad independientes o investigadores individuales a estudiarlo en todas las plataformas
Limitaciones:
- Informes que afirman que el software está desactualizado / es vulnerable sin una "Prueba de concepto".
- Problemas de XSS que afectan solo a los navegadores obsoletos.
- Apila los rastros que revelan información.
- Cualquier problema de fraude
Pago mínimo: la Compañía pagará un mínimo de $ 15 por encontrar errores.
Pago máximo: esta empresa no fija el límite superior.
Enlace de recompensa: https://paytm.com/offer/bug-bounty/
27) Shopify
El programa Whitehat de Shopify recompensa a los investigadores de seguridad por encontrar vulnerabilidades de seguridad graves
Pago mínimo: la cantidad mínima que paga Shopify es de $ 500.
Pago máximo: no hay un límite superior fijo para pagar la recompensa.
Enlace de recompensa: https://www.shopify.in/whitehat
28) Prensa de palabras
WordPress también da la bienvenida a los investigadores de seguridad para informar sobre los errores que han encontrado.
Pago mínimo: WordPress paga un mínimo de $ 150 por informar errores en su sitio.
Pago máximo: la Compañía no fija un límite máximo para pagar como recompensa.
Enlace de recompensa: https://make.wordpress.org/core/handbook/testing/reporting-bugs/
29) Zomato
Zomato ayuda al investigador de seguridad a identificar problemas relacionados con la seguridad con el sitio web o las aplicaciones de la empresa.
Pago mínimo: Zomato pagará un mínimo de $ 1000 por encontrar errores importantes.
Pago máximo: no hay una cantidad fija máxima.
Enlace de recompensa: https://www.zomato.com/security
30) Proyecto Tor
El programa de recompensas por errores de Tor Project cubre dos de sus servicios principales: su demonio de red y su navegador.
Limitación: las aplicaciones OpenSSL están excluidas de este ámbito.
Pago mínimo: el monto mínimo pagado por ellos es de $ 100.
Pago máximo: La Compañía le pagará un máximo de $ 4000.
(No hay enlace disponible) Enlace de recompensa: Esta dirección de correo electrónico está protegida contra spambots. Necesita tener JavaScript habilitado para verlo.
31) Hackerone
HackerOne es una de las plataformas de recompensa de errores y coordinación de vulnerabilidades más grandes. Ayuda a las empresas a proteger los datos de sus consumidores trabajando con la comunidad de investigación global para encontrar los problemas de seguridad más relevantes. Muchas empresas conocidas como Yahoo, Shopify, PHP, Google, Snapchat y Wink están utilizando el servicio de este sitio web para recompensar a los investigadores de seguridad y a los piratas informáticos éticos.
Enlace de recompensa: https://hackerone.com/bug-bounty-programs
32) Multitud de insectos
Una plataforma poderosa que conecta a la comunidad de investigadores de seguridad global con el mercado de la seguridad. Este sitio tiene como objetivo proporcionar la combinación adecuada y el tipo de investigador adecuado de acuerdo con el sitio web específico para sus clientes en todo el mundo. Los piratas informáticos solo necesitan seleccionar sus informes en este sitio, y si pueden detectar errores correctos, la compañía específica pagará la cantidad a esa persona.
Enlace de recompensa: https://www.bugcrowd.com/bug-bounty-list/