Tuy nhiên, mỗi nền tảng lại có hướng phát triển và cách công khai thông tin khác nhau, như việc công khai hay bí mật về các chương trình, cách báo cáo lỗ hổng trong các chương trình bug bounty, thông tin về người chơi tham gia. Dưới đây là 5 nền tảng Bug bounty cung cấp các chương trình bug bounty hàng đầu hiện nay do Geekflare bình chọn.
Nền tảng tìm kiếm lỗ hổng bảo mật HackerOne lần đầu ra mắt vào năm 2013. Nền tảng này hoạt động trên 9 tên miền khác nhau như: hackerone.com, https://hackerone-us-west-2-production-attachments.s3-us-west-2.amazonaws.com/, https://api.hackerone.com và *.vpn.hackerone.net….
Trong số các nền tảng tiền thưởng lỗi, HackerOne được xem là nền tảng đi đầu trong việc thu hút đông đảo người chơi tham dự, các chương trình tiền thưởng, truyền bá thông tin và những đóng góp tới cộng đồng.
Có 2 cách để các công ty tham gia vào nền tảng HackerOne: Sử dụng nền tảng để thu thập các báo cáo về lỗ hổng và tự mình giải quyết hoặc để các chuyên gia tại HackerOne xử lý (triaging). Triaging đơn giản là quá trình trung gian biên soạn các báo cáo về các lỗ hổng bảo mật và giao tiếp với các người chơi.
HackerOne được sử dụng bởi những tên tuổi nổi tiếng như Google Play, PayPal, GitHub, Starbucks… Đặc biệt, nền tảng này chấp nhận các lỗ hổng được báo cáo nằm ngoài phạm vi các chương trình tiền thưởng.
Giao diện Nền tảng HackerOne - Website: https://hackerone.com/security
Hàng năm, HackerOne sẽ công bố Báo cáo Top 10 các chương trình bào mật công khai trên nền tảng này. Năm 2020, Chương trình Verizon Media đứng đầu với 1.315 người chơi tham dự có tổng tiền thưởng lên tới 9.408.000 USD. Đứng thứ 2 là PayPal với 371 người chơi và 2.790.000 USD. Một chương trình khác cũng thu hút 635 người chơi xếp ở vị trí thứ 3 là Uber với tổng giá trị tiền thưởng là 2.415.000 USD.
Đối với Hackerone, thông tin về người báo cáo lỗ hổng trong các chương trình (công khai và bí mật), số lượng báo cáo, thông tin chi tiết về các khoảng tiền thưởng, tổng số lỗ hổng (đã báo cáo và xử lý xong), thời gian phản hồi trung bình của chương trình đều được công bố.
Thành lập năm 2014, Bugcrowd cung cấp một số giải pháp để đánh giá bảo mật, một trong số đó là Bug Bounty. Nền tảng này cung cấp giải pháp SaaS tích hợp với vòng đời phần mềm của các công ty, khiến việc vận hành một chương trình tiền thưởng lỗi cho các doanh nghiệp trở nên dễ dàng.
Các doanh nghiệp có thể chọn một chương trình tiền thường lỗi riêng tư với một số lượng tin tặc giới hạn hoặc một chương trình công khai.
Khác với HackerOne, nền tảng Bugcrowd tiết lộ các thông tin theo một giới hạn như: trung bình số tiền thưởng đã trả cho người tham gia trong 3 tháng gần nhất, thời gian xử lý một báo cáo hợp lệ, tổng số lỗ hổng đã được trao thưởng. Các thông tin về báo cáo và người tham gia là tuyệt mật cũng như chính sách không tiết lộ bất kỳ thông tin về lỗ hổng nào trong chương trình khi chưa có sự cho phép từ phía chủ chương trình.
Giao diện Nền tảng Bugcrowd Website: https://www.bugcrowd.com/
YesWeHack thành lập năm 2013 có trụ sở chính tại Pháp. Hiện tại, nền tảng này kết nối hơn 21.000 chuyên gia tại trên 170 quốc gia với các tổ chức. YesWeHack hoạt động với 2 loại chương trình là riêng tư (dựa trên lời mời) và các chương trình công khai (Vulnerability Disclosure Program - VDP). VDP nhằm đưa ra thông tin về chính sách tiếp nhận lỗ hổng từ bên ngoài và thông tin liên hệ để báo cáo của các công ty, tổ chức. Đây là những chương trình mà tất cả mọi người đều có thể tham gia công khai và thực hiện kiểm thử xâm nhập theo chính sách, mục tiêu của chương trình. Đặc biệt, YesWeHack tuân thủ quy định nghiêm ngặt của Châu Âu.
Giao diện Nền tảng YesWeHack Website: https://www.yeswehack.com/
Được thành lập vào năm 2016 - Intigriti là một nền tảng bảo mật sử dụng nguồn lực cộng đồng, nơi các nhà nghiên cứu bảo mật và các công ty gặp gỡ nhau, với phương châm là một nền tảng săn tiền thưởng có đạo đức.
Theo đại diện của Intigriti, họ bày tỏ mong muốn xác định và xử lý các lỗ hổng bảo mật một cách hiệu quả về chi phí. Nền tảng được quản lý tạo điều kiện thuận lợi cho việc kiểm tra bảo mật trực tuyến thông qua cộng tác với các nhà nghiên cứu giàu kinh nghiệm với trọng tâm là người Châu Âu. Cùng nhau, có thể cung cấp nguồn sáng tạo vô tận để mô phỏng các mối đe dọa có thể xảy ra.
Giao diện Nền tảng Intigriti Website: https://www.intigriti.com/
Nền tảng Synack là một ngoại lệ của trong thị trường bug bounty, bởi nó phá vỡ khuôn mẫu mà các nền tảng khác vận hành. Synack có điểm nhấn chính là Hack the Pentagon. Không chỉ tìm kiếm lỗ hổng, Synack còn hướng dẫn bảo mật và đào tạo cấp cao. Được biết đến là nền tảng tình báo của Mỹ, Synack tự động hóa việc phát hiện ra các điểm cuối và tài sản dễ bị tấn công.
Về mặt thông tin, Synack còn bí mật hơn các nền tảng khác khi không công khai bất kỳ thông tin nào về các chương trình bug bounty và người tham gia. Để tham dự, người chơi phải trải qua nhiều vòng phỏng vấn, kiểm tra nghiêm ngặt. Sau khi được chấp nhận trở thành một thành viên của nền tảng, các chương trình bug bounty cũng ở mức giới hạn và bí mật. Thông tin có thể được tiết lộ chỉ là danh sách các lỗ hổng đã được báo cáo và phân loại các lỗ hổng. Mức tiền thưởng cho các chương trình là giống nhau phân theo mức độ nghiêm trọng của từng báo cáo.
Giao diện nền tảng Synack Website: https://www.synack.com/.
Trí Công
08:00 | 05/03/2021
16:00 | 03/09/2021
09:00 | 28/04/2024
08:00 | 01/11/2021
09:00 | 22/10/2021
09:00 | 06/09/2021
09:00 | 28/04/2024
08:00 | 24/04/2019
10:00 | 24/04/2024
10:00 | 04/10/2020
10:00 | 25/11/2024
Tấn công chuỗi cung ứng phần mềm là hình thức tấn công mạng nhằm vào việc phân phối phần mềm hoặc nhà cung cấp dịch vụ trong chuỗi cung ứng kỹ thuật số của doanh nghiệp, gây tác động trên diện rộng và tổn hại lớn đến danh tiếng của doanh nghiệp. Để bảo vệ chuỗi cung ứng trong thời đại số, bài viết này sẽ cung cấp 6 biện pháp giúp doanh nghiệp giảm thiểu các rủi ro và củng cố chuỗi cung ứng trước hình thức tấn công này.
13:00 | 11/11/2024
Trong bối cảnh an ninh mạng ngày càng trở nên phức tạp và tinh vi, các tổ chức đang dần nhận ra rằng các phương pháp bảo mật truyền thống không còn đáp ứng được yêu cầu bảo vệ hệ thống của họ. Chính trong hoàn cảnh này, mô hình Zero Trust nổi lên như một giải pháp toàn diện, giúp bảo vệ hệ thống mạng khỏi các cuộc tấn công cả từ bên ngoài và bên trong. Tuy nhiên, việc triển khai Zero Trust không đơn giản, bài học kinh nghiệm nào để các tổ chức triển khai thành công mô hình bảo mật hiện đại này?
13:00 | 13/08/2024
Có rất nhiều khái niệm về Zero Trust nhưng bạn đã thực sự hiểu về nó? Bài báo này sẽ đưa ra khái niệm dễ hiểu sự hình thành của thuật ngữ Zero Trust, các tác nhân, khu vực cần triển khai Zero Trust...
09:00 | 01/04/2024
Trong thời đại số ngày nay, việc quản lý truy cập và chia sẻ thông tin cá nhân trên các thiết bị di động thông minh đã trở thành vấn đề đáng quan tâm đối với mọi người dùng. Việc không kiểm soát quyền truy cập và sự phổ biến của dữ liệu cá nhân có thể gây ra các rủi ro về quyền riêng tư và lạm dụng thông tin. Bài viết này sẽ giới thiệu đến độc giả về Safety Check - một tính năng mới trên iOS 16 cho phép người dùng quản lý, kiểm tra và cập nhật các quyền và thông tin được chia sẻ với người và ứng dụng khác ngay trên điện thoại của chính mình, giúp đảm bảo an toàn và bảo mật khi sử dụng ứng dụng và truy cập dữ liệu cá nhân.
Trong thời đại ngày nay, cùng với sự phát triển của khoa học kỹ thuật có ngày càng nhiều những cuộc tấn công vào phần cứng và gây ra nhiều hậu quả nghiêm trọng. So với các loại tấn công khác, tấn công qua kênh kề đang được nghiên cứu do khả năng khôi phục lại khóa bí mật trong khi hệ thống vẫn hoạt động bình thường mà không hề làm thay đổi phần cứng. Bài báo này sẽ trình bày một cách sơ lược về những kết quả cuộc tấn công kênh kề lên mã hóa RSA cài đặt trên điện thoại thông minh sử dụng hệ điều hành Android tại Viện Khoa học - Công nghệ mật mã. Nhóm tác giả đã tấn công khôi phục được một phần khóa bí mật của mã hóa RSA cài đặt trên điện thoại thông minh và chứng minh khả năng rò rỉ thông tin qua kênh kề.
14:00 | 11/09/2024
Trí tuệ nhân tạo (AI) đang ngày càng phát triển và được áp dụng trong nhiều lĩnh vực của đời sống. Thậm chí đối với những lĩnh vực đòi hỏi trình độ cao của con người như lập trình hay bảo mật, AI cũng đang chứng minh khả năng vượt trội của mình. Với sự trợ giúp của AI, Google đã phát hiện một lỗ hổng bảo mật tồn tại hơn 20 năm trong dự án phần mềm mã nguồn mở được sử dụng rộng rãi.
13:00 | 02/12/2024