Abaixo está uma lista com curadoria de programas de recompensas por empresas conceituadas
1) Intel
O programa de recompensas da Intel visa principalmente o hardware, firmware e software da empresa.
Limitações: Não inclui aquisições recentes, a infraestrutura da Web da empresa, produtos de terceiros ou qualquer coisa relacionada à McAfee.
Pagamento mínimo: a Intel oferece um valor mínimo de $ 500 para encontrar bugs em seu sistema.
Pagamento máximo: A empresa paga o máximo de $ 30.000 para detectar bugs críticos.
Bounty Link: https://security-center.intel.com/BugBountyProgram.aspx
2) Yahoo
O Yahoo tem sua equipe dedicada que aceita relatórios de vulnerabilidade de pesquisadores de segurança e hackers éticos.
Limitações: A empresa não oferece nenhuma recompensa por encontrar bugs no yahoo.net, Yahoo 7 Yahoo Japan, Onwander e blogs do Word Press operados pelo Yahoo.
Pagamento mínimo: Não há limite definido no Yahoo para o pagamento mínimo.
Pagamento máximo: o Yahoo pode pagar $ 15.000 para detectar bugs importantes em seu sistema.
Link de recompensa: https://safety.yahoo.com/Security/REPORTING-ISSUES.html
3) Snapchat
A equipe de segurança do Snapchat analisa todos os relatórios de vulnerabilidade e age de acordo com a divulgação responsável. A empresa, iremos reconhecer sua submissão dentro de 30 dias.
Pagamento mínimo: o Snapchat pagará no mínimo $ 2.000.
Pagamento Máximo: O máximo que eles pagarão é $ 15.000.
Link de recompensa: https://support.snapchat.com/en-US/i-need-help
4) Cisco
A Cisco incentiva os indivíduos ou organizações que estão enfrentando um problema de segurança do produto a relatá-los à empresa.
Pagamento mínimo: o valor mínimo de pagamento da Cisco é de $ 100.
Pagamento máximo: a empresa dará um máximo de US $ 2.500 para encontrar vulnerabilidades graves.
Bounty Link: https://tools.cisco.com/security/center/resources/security_vulnerability_policy.html
5) Dropbox
O programa de recompensa Dropbox permite que os pesquisadores de segurança relatem bugs e vulnerabilidades no serviço de terceiros HackerOne.
Pagamento mínimo: o valor mínimo pago é $ 12.167.
Pagamento Máximo: O valor máximo oferecido é $ 32.768.
Bounty Link: https://help.dropbox.com/accounts-billing/security/how-security-works
6) Apple
Quando a Apple lançou seu programa de recompensa por bug, ela permitia apenas 24 pesquisadores de segurança. A estrutura então se expandiu para incluir mais caçadores de recompensas de insetos.
A empresa vai pagar $ 100.000 para aqueles que podem extrair dados protegidos pela tecnologia Secure Enclave da Apple.
Pagamento mínimo: Não há um montante limitado fixado pela Apple Inc.
Pagamento máximo: a maior recompensa dada pela Apple é de US $ 200.000 por problemas de segurança que afetam seu firmware.
Bounty Link: https://support.apple.com/en-au/HT201220
7) Facebook
No programa de recompensa de bugs do Facebook, os usuários podem relatar um problema de segurança no Facebook, Instagram, Atlas, WhatsApp, etc.
Limitações: Existem alguns problemas de segurança que a plataforma de rede social considera fora dos limites.
Pagamento mínimo: o Facebook pagará um mínimo de $ 500 por uma vulnerabilidade divulgada.
Pagamento Máximo: Não há limite máximo fixado pelo Facebook para o Pagamento.
Link de recompensa: https://www.facebook.com/whitehat/
8) Google
Todos os conteúdos em .google.com, .blogger, youtube.com estão abertos para o programa de recompensas de vulnerabilidade do Google.
Limitações: Este programa de recompensas cobre apenas questões de design e implementação.
Pagamento mínimo: o Google pagará no mínimo US $ 300 para encontrar fios de segurança.
Pagamento máximo: o Google pagará a recompensa mais alta de $ 31.337 para aplicativos normais do Google.
Bounty Link: https://www.google.com/about/appsecurity/reward-program/
9) Quora
O Quora oferece o programa Bug Bounty a todos os usuários e pesquisadores para encontrar e relatar vulnerabilidades de segurança.
Pagamento mínimo: Quora pagará um mínimo de $ 100 para encontrar vulnerabilidades em seu site.
Pagamento Máximo: O pagamento máximo oferecido por este site é de $ 7000.
Bounty Link: https://engineering.quora.com/Security-Bug-Bounty-Program
10) Mozilla
A Mozilla recompensa por descobertas de vulnerabilidade por hackers éticos e pesquisadores de segurança.
Limitações: A recompensa é oferecida apenas para bugs nos serviços do Mozilla, como Firefox, Thunderbird e outros aplicativos e serviços relacionados.
Pagamento mínimo: o valor mínimo fornecido pelo Firefox é $ 500.
Pagamento Máximo: A Empresa está pagando no máximo $ 5.000.
Bounty Link: https://www.mozilla.org/en-US/security/bug-bounty/
11) Microsoft
O programa de recompensa de bugs atual da Microsoft foi lançado oficialmente em 23 de setembro de 2014 e lida apenas com os Serviços Online.
Limitações: A recompensa de recompensa é dada apenas para vulnerabilidades críticas e importantes.
Pagamento mínimo: Microsoft pronta para pagar $ 15.000 por encontrar bugs críticos.
Pagamento máximo: o valor máximo pode ser $ 250.000.
Bounty Link: https://technet.microsoft.com/en-us/library/dn425036.aspx
12) OpenSSL
O OpenSSL bounty permite que você relate vulnerabilidades usando e-mail seguro (chave PGP). Você também pode relatar vulnerabilidades ao Comitê de Gerenciamento do OpenSSL.
Pagamento mínimo: A empresa paga recompensas de recompensa mínimas de $ 500.
Pagamento Máximo: O valor mais alto dado pela empresa é de $ 5.000.
Link de recompensa: https://www.openssl.org/news/vulnerabilities.html
13) Vimeo
O Vimeo aceita qualquer relatório de vulnerabilidade de segurança em seus produtos, pois a empresa paga boas recompensas a essa pessoa.
Pagamento mínimo: A Empresa pagará no mínimo $ 500
Pagamento Máximo: O valor máximo pago por esta empresa é $ 5000.
Bounty Link: https://vimeo.com/about/security
14) Apache
O Apache incentiva hackers éticos a relatar vulnerabilidades de segurança para uma de suas listas de mala direta de segurança privada.
Pagamento mínimo: O valor mínimo de pagamento fornecido pela Apache é de $ 500.
Pagamento Máximo: Esta Empresa pode dar um prêmio máximo de $ 3.000.
Bounty Link: https://www.apache.org/security/
15) Twitter
O Twitter permite que pesquisadores e especialistas em segurança sobre possíveis vulnerabilidades de segurança em seus serviços. A empresa incentiva as pessoas a encontrarem bugs.
Pagamento mínimo: o Twitter está pagando um valor mínimo de $ 140.
Pagamento Máximo: O valor máximo pago pela empresa é $ 15.000.
Link de recompensa: https://support.twitter.com/articles/477159
16) Avast
O programa de recompensa Avast recompensa hackers éticos e pesquisadores de segurança para relatar a execução remota de código, escalonamento de privilégio local, DOS, desvio de scanner, entre outros problemas.
Pagamento mínimo: Avast pode pagar a você o valor mínimo de $ 400.
Pagamento Máximo: O valor máximo oferecido pela empresa é de $ 10.000.
Link de recompensa: https://www.avast.com/bug-bounty
17) Paypal
O serviço de gateway de pagamento Paypal também oferece programas de recompensa por bug para pesquisadores de segurança.
Limitações:
Vulnerabilidades dependentes de técnicas de engenharia social, Host Header
Negação de serviço (DOS), carga definida pelo usuário, falsificação de conteúdo sem links incorporados / HTM e vulnerabilidades que exigem um dispositivo móvel desbloqueado, etc.
Pagamento mínimo: o Paypal pode pagar no mínimo $ 50 para encontrar vulnerabilidades de segurança em seu sistema.
Pagamento Máximo: O valor máximo de pagamento dado pelo Paypal é de $ 10.000.
Bounty Link: https://hackerone.com/paypal
18) GitHub
O GitHub executa um programa de recompensa por bug desde 2013. Cada participante bem-sucedido ganhou pontos por seus envios de vulnerabilidade, dependendo da gravidade.
Limitação: O pesquisador de segurança receberá essa recompensa apenas se respeitar os dados dos usuários e não explorar nenhum problema para produzir um ataque que possa prejudicar a integridade dos serviços ou informações do GitHub.
Pagamento mínimo: o Github paga um valor mínimo de $ 200 para encontrar bugs.
Pagamento máximo: o Github pode pagar $ 10000 para encontrar bugs críticos.
Link de recompensa: https://bounty.github.com/
19) Uber
O programa de recompensas de vulnerabilidade do Uber focou principalmente na proteção de dados de usuários e seus funcionários.
Pagamento Mínimo: Não existe um valor mínimo pré-determinado.
Pagamento máximo: o Uber pagará a você $ 10.000 por encontrar problemas críticos de bugs.
Link de recompensa: https://eng.uber.com/bug-bounty-map/
20) Magento
O programa Magneto Bounty permite que você relate vulnerabilidades de segurança no software ou sites Magneto.
Limitações:
A pesquisa de segurança a seguir não é elegível para a recompensa
- Negação de serviço potencial ou real de aplicativos e sistemas Magento.
- Uso de um exploit para visualizar dados sem autorização.
- Teste automatizado / com script de formulários da web
Pagamento mínimo: O valor mínimo de pagamento para este programa de recompensas é de $ 100.
Pagamento máximo: Magento está pagando no máximo $ 10.000 para encontrar bugs críticos.
Bounty Link: https://magento.com/security
21) Perl
Perl também está executando programas de recompensa de bug. Se alguém encontrou uma vulnerabilidade de segurança no Perl, pode entrar em contato com a empresa.
Pagamento mínimo: A empresa paga um valor mínimo de $ 500.
Pagamento Máximo: O valor mais alto dado pelo Perl é $ 1500.
Bounty Link: http://perldoc.perl.org/perlsec.html#SECURITY-VULNERABILITY-CONTACT-INFORMATION
22) PHP
O PHP permite que hackers éticos encontrem um bug em seu site.
Limitações: Você precisa verificar a lista de bugs já encontrados. Se você não seguir esta instrução, seu bug não será considerado.
Pagamento máximo: O valor mínimo de pagamento é $ 500.
Pagamento mínimo: Máximo de $ 1500 é fornecido pelo PHP para a busca de bugs importantes.
Bounty Link: https://bugs.php.net/report.php?bug_type=Security
23) Starbucks
A Starbucks executa o programa bug Bounty para proteger seus clientes. Eles incentivam a encontrar atividades maliciosas em suas políticas de redes, web e aplicativos móveis.
Pagamento mínimo: o valor mínimo pago pela Starbucks $ 100.
Pagamento Máximo: O valor máximo vai até $ 4000.
Bounty Link: https://www.starbucks.com/whitehat
24) AT&T
A AT&T também tem seu canal de caça a bugs. Os desenvolvedores e especialistas em segurança podem pesquisar as várias plataformas, como sites, APIs e aplicativos móveis.
Pagamento mínimo: o valor mínimo pago por eles é de $ 500.
Pagamento Máximo: Não há limite máximo para pagamento.
Bounty Link: https://bugbounty.att.com/
25) LinkedIn
O LinkedIn dá as boas-vindas a pesquisadores individuais que contribuem com sua experiência e tempo para encontrar bugs.
A empresa irá recompensá-lo, mas nem o valor mínimo nem o máximo são uma solução para esse propósito.
Bounty Link: https://security.linkedin.com/posts/2015/private-bug-bounty-program
26) Paytm
Paytm convida grupos de segurança independentes ou pesquisadores individuais para estudá-lo em todas as plataformas
Limitações:
- Relatórios que afirmam que o software está desatualizado / vulnerável sem uma 'Prova de conceito'.
- Problemas de XSS que afetam apenas navegadores desatualizados.
- Rastreios de pilha que divulgam informações.
- Quaisquer problemas de fraude
Pagamento mínimo: A empresa pagará um mínimo de $ 15 para encontrar bugs.
Pagamento Máximo: Esta empresa não fixa o limite superior.
Bounty Link: https://paytm.com/offer/bug-bounty/
27) Shopify
O programa Whitehat da Shopify recompensa pesquisadores de segurança por encontrarem vulnerabilidades de segurança graves
Pagamento mínimo: O valor mínimo pago pelo Shopify é de $ 500.
Pagamento Máximo: Não há limite máximo fixo para pagar a recompensa.
Bounty Link: https://www.shopify.in/whitehat
28) Word Press
O WordPress também dá as boas-vindas aos pesquisadores de segurança para relatar sobre os bugs que encontraram.
Pagamento mínimo: WordPress paga um mínimo de $ 150 para relatar bugs em seu site.
Pagamento Máximo: A Empresa não fixa um limite máximo para pagar como recompensa.
Bounty Link: https://make.wordpress.org/core/handbook/testing/reporting-bugs/
29) Zomato
A Zomato ajuda o investigador de segurança a identificar problemas relacionados com a segurança no site ou nas aplicações da empresa.
Pagamento mínimo: a Zomato vai pagar um mínimo de $ 1000 por encontrar bugs importantes.
Pagamento Máximo: Não há valor fixo máximo.
Bounty Link: https://www.zomato.com/pt/security
30) Projeto Tor
O programa de recompensa de bugs do Tor Project cobre dois de seus serviços principais: o daemon de rede e o navegador.
Limitação: os aplicativos OpenSSL são excluídos deste escopo.
Pagamento mínimo: O valor mínimo pago por eles é de $ 100.
Pagamento Máximo: A Empresa pagará a você no máximo $ 4000.
(Nenhum link disponível) Link Bounty: Este endereço de email está protegido contra piratas. Você deve habilitar o JavaScript para visualizá-lo.
31) Hackerone
HackerOne é uma das maiores plataformas de coordenação de vulnerabilidades e recompensas de bugs. Ele ajuda as empresas a proteger seus dados de consumidor, trabalhando com a comunidade de pesquisa global para encontrar os problemas de segurança mais relevantes. Muitas empresas conhecidas como Yahoo, Shopify, PHP, Google, Snapchat e Wink estão usando o serviço deste site para recompensar pesquisadores de segurança e hackers éticos.
Bounty Link: https://hackerone.com/bug-bounty-programs
32) Bugcrowd
Uma plataforma poderosa que conecta a comunidade global de pesquisadores de segurança ao mercado de segurança. Este site tem como objetivo fornecer a mistura certa e o tipo de pesquisador adequado de acordo com o site específico para seus clientes em todo o mundo. Os hackers precisam apenas selecionar seus relatórios neste site e, se puderem detectar os bugs corretos, a empresa específica pagará o valor para essa pessoa.
Bounty Link: https://www.bugcrowd.com/bug-bounty-list/