研究人员提供了有关Bugcrowd计划中发现的脆弱性的记录激励措施

密码经理1Password已宣布已将其最大错误赏金奖励提高到100万美元

更新密码经理1Password已宣布已将其最大错误赏金奖励提高到100万美元,这是潜在支出之一行业

在今天(3月10日)发布的一份声明中,这家总部位于多伦多的公司透露,它提供了巨大的财务激励措施,这是Bugcrowd管理的计划目前提供的最高数字。


阅读更多有关漏洞赏金程序的最新消息


1Password的首席执行官杰夫·希纳(Jeff Shiner)表示:“将我们的漏洞赏金增加到100万美元将吸引另一层外部专业知识,以确保我们的系统尽可能安全。

“我们将共同加深我们的安全领导,以便我们的客户可以轻松自信地在线生活。”

以前的支出

自2017年开始“ Bug Bounty计划”以来,1Password表示已向安全支付了103,000美元研究人员,平均每回报$ 900。

该公司表示,所有检测到的错误都是“次要的”,并且“对敏感客户数据的保密没有任何威胁”。

以前,研究人员获得了100,000美元的最高支出。

Bugcrowd首席执行官Ashish Gupta说,研究人员社区“如今尤为重要,因为黑客的技术和威胁从中升级而变得越来越稳定。俄罗斯”。

他补充说:“ 1Password自2017年以来一直保持着我们的最高虫赏金奖励地点,他们的100万美元最高奖项强调了他们对我们社区提供的价值的尊重。”

深入挖掘

1Password安全总监Adam Caudill告诉每日swbeplay2018官网ig保护客户是增加的主要驱动力。

卡迪尔说:“这是我们的首要任务,因此我们在桌子上投入了足够的钱,使研究人员有理由深入研究并寻找严重的问题。”“如果它们存在,我们想知道。”

他补充说:“我们不仅研究了错误赏金市场,以及进攻安全市场,并研究了漏洞和漏洞的销售。

“我们的目标是将这个赏金足够高,以至于我们正在激励研究人员,并成为最有利可图的买家来利用我们的产品。如果研究人员发现一个问题,我们希望他们来找我们,而不是将其传递给对抗政党的经纪人。”


Coinbase安全错误允许用户窃取无限的加密货币


Caudill指定逻辑问题是最有趣的发现,“在开发,审查和测试中往往易于忽略”。

他说:“逻辑问题往往是微妙的,但可能非常强大,尤其是当您利用开发人员错误的假设时。最有趣的问题往往不依赖一个重大错误,而是建立在一系列小错误上,这些错误在合并后变成了有趣的东西。”

Caudill补充说:“我们收到了一些有趣的意见,一位研究人员通过寻找此类问题,设法要求我们近一半的支出。”

要找什么

他鼓励研究人员注意这些微妙的问题,尤其是微妙的逻辑问题,以获取100万美元的赏金。

卡迪尔说:“这些是最难抓住的(尽管每个人都尽力而为) - 这些问题最有可能导致发现有趣的东西。

“ 1Password因成为最困难的目标之一而闻名,发现具有真正安全影响的问题是一个真正的挑战。”


本文已更新以包含来自1Password的评论


你可能也会喜欢bug赏金雷达// 2022年3月的最新漏洞赏金程序