Yelpはバグバウンティプログラムで15万ドルの報酬を研究者に誘う

Yelpは、セキュリティ上の脆弱性を提出して数千ドルの報酬を提供すると約束している、公開バグバウンティプログラムを開始しました。

ransomware攻撃のコスト:今年は10億ドル、ChromeはHTTP接続を安全ではないとラベル付け開始、Hyperledgerプロジェクトはギャングバスターのように成長している;今、あなたはその道で何かを破壊するUSB​​スティックを買うことができる

火曜日、Yelpのセキュリティエンジニア、Martin Georgiev氏は、ブログの記事で、成功した2年間のプライベートバグバウンティプログラム、レビューウェブサイトが100以上のセキュリティ脆弱性を修正でき、数十人の研究者が彼らのために報われたことを明らかにした尽力。

勢いを維持し、可能な限りYelpドメインを保護するため、同社はバグバウンティプログラムの扉を開き、外部のセキュリティ専門家を招いて参加しています。

ゲオルギエフ氏は、多くの企業が今私的なプログラムを行っているが、研究者や研究者と協力する能力は確信している」と語った。レポートを管理するため、より多くの参加を促すために公開プログラムを開きたいと考えました。

HackerOneが主催するバグバウンティプログラムは、欠陥の深刻度とその問題を悪用した潜在的影響が会社のサービスに与える影響に応じて、提出された有効なバグごとに最大15,000ドルの研究費を支払う予定です。最低払いは100ドルです。

Yelpには、yelp.com、biz.yelp.com、Yelp for Business Ownersモバイルアプリ、yelp-support comなどのバグバウンティ制度に、消費者のウェブサイト、ビジネスドメイン、モバイルアプリ、ブログが含まれています。さらに、yelpが最近公開したapi.yelp.comで公開されているPublic API v3も含まれています。

:バグの賞金:「あなたが欲しいものを購入する」

同社は、ユーザーデータの漏洩、情報開示の欠陥、レビューの改ざん、支払い詳細の公開、認証バイパスのバグなど、さまざまな脆弱性に関心があります。

モバイルアプリに関心を持つ研究者は、安全でないデータストレージ、WebViewの弱い設定、機密データの漏えいなどの脆弱性に焦点を当てるように求められています。

私たちはあなたの大きな銃を持ち出すことを望みますが、実際に何かを壊すことは避けてください」とYelp氏は言います。「私たちはDDoSを避ける​​か、テスト中はシステムとサービスを壊してください。電子メールコンポーネントを含む機能をテストする場合は、可能な場合は「@ test.com」アカウントを使用して、テストを簡単にフィルタ可能にします。

Yelpは、脆弱性とサイバー攻撃の可能性をできるだけ低く抑えるために、群衆ベースのバグバウンティプログラムに向けた最新の企業です。最近数ヶ月で、Microsoftはバグ賞金制度を拡大している.Appleは – 第三者研究者に専門知識を披露するプログラムを開始し、パナソニックも有効なセキュリティの代償として研究者の現金インセンティブを提供し始めている欠陥。

FBIは、米国の政府関係者をハッキングしたとの態度で、Crackasのメンバーを逮捕した

WordPressは、重要なセキュリティホールを修正するために今アップデートするようユーザに促す

ホワイトハウス、連邦最高情報セキュリティ責任者を任命

米連邦捜査局(FBI)はCrackasのメンバーを逮捕し、米国政府の役人をハッキングした姿勢を示している;セキュリティ、Wordpressはユーザーに重大なセキュリティホールを修正するように今更新するよう強く促す;セキュリティ、ホワイトハウスは連邦最高情報セキュリティ責任者政府の監視による緊急対応

国防総省のサイバー緊急対応を批判したペンタゴン