Tuy nhiên, mỗi nền tảng lại có hướng phát triển và cách công khai thông tin khác nhau, như việc công khai hay bí mật về các chương trình, cách báo cáo lỗ hổng trong các chương trình bug bounty, thông tin về người chơi tham gia. Dưới đây là 5 nền tảng Bug bounty cung cấp các chương trình bug bounty hàng đầu hiện nay do Geekflare bình chọn.
Nền tảng tìm kiếm lỗ hổng bảo mật HackerOne lần đầu ra mắt vào năm 2013. Nền tảng này hoạt động trên 9 tên miền khác nhau như: hackerone.com, https://hackerone-us-west-2-production-attachments.s3-us-west-2.amazonaws.com/, https://api.hackerone.com và *.vpn.hackerone.net….
Trong số các nền tảng tiền thưởng lỗi, HackerOne được xem là nền tảng đi đầu trong việc thu hút đông đảo người chơi tham dự, các chương trình tiền thưởng, truyền bá thông tin và những đóng góp tới cộng đồng.
Có 2 cách để các công ty tham gia vào nền tảng HackerOne: Sử dụng nền tảng để thu thập các báo cáo về lỗ hổng và tự mình giải quyết hoặc để các chuyên gia tại HackerOne xử lý (triaging). Triaging đơn giản là quá trình trung gian biên soạn các báo cáo về các lỗ hổng bảo mật và giao tiếp với các người chơi.
HackerOne được sử dụng bởi những tên tuổi nổi tiếng như Google Play, PayPal, GitHub, Starbucks… Đặc biệt, nền tảng này chấp nhận các lỗ hổng được báo cáo nằm ngoài phạm vi các chương trình tiền thưởng.
Giao diện Nền tảng HackerOne - Website: https://hackerone.com/security
Hàng năm, HackerOne sẽ công bố Báo cáo Top 10 các chương trình bào mật công khai trên nền tảng này. Năm 2020, Chương trình Verizon Media đứng đầu với 1.315 người chơi tham dự có tổng tiền thưởng lên tới 9.408.000 USD. Đứng thứ 2 là PayPal với 371 người chơi và 2.790.000 USD. Một chương trình khác cũng thu hút 635 người chơi xếp ở vị trí thứ 3 là Uber với tổng giá trị tiền thưởng là 2.415.000 USD.
Đối với Hackerone, thông tin về người báo cáo lỗ hổng trong các chương trình (công khai và bí mật), số lượng báo cáo, thông tin chi tiết về các khoảng tiền thưởng, tổng số lỗ hổng (đã báo cáo và xử lý xong), thời gian phản hồi trung bình của chương trình đều được công bố.
Thành lập năm 2014, Bugcrowd cung cấp một số giải pháp để đánh giá bảo mật, một trong số đó là Bug Bounty. Nền tảng này cung cấp giải pháp SaaS tích hợp với vòng đời phần mềm của các công ty, khiến việc vận hành một chương trình tiền thưởng lỗi cho các doanh nghiệp trở nên dễ dàng.
Các doanh nghiệp có thể chọn một chương trình tiền thường lỗi riêng tư với một số lượng tin tặc giới hạn hoặc một chương trình công khai.
Khác với HackerOne, nền tảng Bugcrowd tiết lộ các thông tin theo một giới hạn như: trung bình số tiền thưởng đã trả cho người tham gia trong 3 tháng gần nhất, thời gian xử lý một báo cáo hợp lệ, tổng số lỗ hổng đã được trao thưởng. Các thông tin về báo cáo và người tham gia là tuyệt mật cũng như chính sách không tiết lộ bất kỳ thông tin về lỗ hổng nào trong chương trình khi chưa có sự cho phép từ phía chủ chương trình.
Giao diện Nền tảng Bugcrowd Website: https://www.bugcrowd.com/
YesWeHack thành lập năm 2013 có trụ sở chính tại Pháp. Hiện tại, nền tảng này kết nối hơn 21.000 chuyên gia tại trên 170 quốc gia với các tổ chức. YesWeHack hoạt động với 2 loại chương trình là riêng tư (dựa trên lời mời) và các chương trình công khai (Vulnerability Disclosure Program - VDP). VDP nhằm đưa ra thông tin về chính sách tiếp nhận lỗ hổng từ bên ngoài và thông tin liên hệ để báo cáo của các công ty, tổ chức. Đây là những chương trình mà tất cả mọi người đều có thể tham gia công khai và thực hiện kiểm thử xâm nhập theo chính sách, mục tiêu của chương trình. Đặc biệt, YesWeHack tuân thủ quy định nghiêm ngặt của Châu Âu.
Giao diện Nền tảng YesWeHack Website: https://www.yeswehack.com/
Được thành lập vào năm 2016 - Intigriti là một nền tảng bảo mật sử dụng nguồn lực cộng đồng, nơi các nhà nghiên cứu bảo mật và các công ty gặp gỡ nhau, với phương châm là một nền tảng săn tiền thưởng có đạo đức.
Theo đại diện của Intigriti, họ bày tỏ mong muốn xác định và xử lý các lỗ hổng bảo mật một cách hiệu quả về chi phí. Nền tảng được quản lý tạo điều kiện thuận lợi cho việc kiểm tra bảo mật trực tuyến thông qua cộng tác với các nhà nghiên cứu giàu kinh nghiệm với trọng tâm là người Châu Âu. Cùng nhau, có thể cung cấp nguồn sáng tạo vô tận để mô phỏng các mối đe dọa có thể xảy ra.
Giao diện Nền tảng Intigriti Website: https://www.intigriti.com/
Nền tảng Synack là một ngoại lệ của trong thị trường bug bounty, bởi nó phá vỡ khuôn mẫu mà các nền tảng khác vận hành. Synack có điểm nhấn chính là Hack the Pentagon. Không chỉ tìm kiếm lỗ hổng, Synack còn hướng dẫn bảo mật và đào tạo cấp cao. Được biết đến là nền tảng tình báo của Mỹ, Synack tự động hóa việc phát hiện ra các điểm cuối và tài sản dễ bị tấn công.
Về mặt thông tin, Synack còn bí mật hơn các nền tảng khác khi không công khai bất kỳ thông tin nào về các chương trình bug bounty và người tham gia. Để tham dự, người chơi phải trải qua nhiều vòng phỏng vấn, kiểm tra nghiêm ngặt. Sau khi được chấp nhận trở thành một thành viên của nền tảng, các chương trình bug bounty cũng ở mức giới hạn và bí mật. Thông tin có thể được tiết lộ chỉ là danh sách các lỗ hổng đã được báo cáo và phân loại các lỗ hổng. Mức tiền thưởng cho các chương trình là giống nhau phân theo mức độ nghiêm trọng của từng báo cáo.
Giao diện nền tảng Synack Website: https://www.synack.com/.
Trí Công
08:00 | 05/03/2021
16:00 | 03/09/2021
08:00 | 01/11/2021
09:00 | 06/09/2021
09:00 | 22/10/2021
08:00 | 24/04/2019
10:00 | 24/04/2024
10:00 | 04/10/2020
08:00 | 12/03/2024
Lộ thông tin thẻ tín dụng gây ra nhiều hệ lụy nghiêm trọng, nguy cơ mất tiền là rất cao. Bài báo giới thiệu một số cách thức giúp người dùng giảm nguy cơ khi phát hiện thông tin thẻ tín dụng bị lộ.
09:00 | 08/03/2024
Từ lâu, botnet là một trong những mối đe dọa lớn nhất đối với an ninh mạng, nó đã gây ra nhiều thiệt hại cho các tổ chức và doanh nghiệp trên toàn thế giới. Bài báo sẽ giới thiệu tới độc giả một số kỹ thuật phát hiện botnet bằng Honeynet và tính hiệu quả của chúng, đồng thời đề xuất một số hướng phát triển trong tương lai để nâng cao khả năng phát hiện và ngăn chặn botnet bằng Honeynet.
09:00 | 17/11/2023
Theo Cục An toàn thông tin (Bộ TT&TT), hiện nay có 24 hình thức lừa đảo qua mạng phổ biến mà các đối tượng lừa đảo nhắm vào người dân. Để tránh trở thành nạn nhân, người dân cần nắm bắt, tuyên truyền cho người thân, bạn bè, đồng nghiệp của mình.
10:00 | 20/09/2023
ChatGPT và các mô hình ngôn ngữ lớn (LLM) tương tự đã làm tăng thêm độ phức tạp trong bối cảnh mối đe dọa trực tuyến ngày càng gia tăng. Tội phạm mạng không còn cần các kỹ năng mã hóa nâng cao để thực hiện gian lận và các cuộc tấn công gây thiệt hại khác chống lại các doanh nghiệp và khách hàng trực tuyến nhờ vào bot dưới dạng dịch vụ, residential proxy, CAPTCHA và các công cụ dễ tiếp cận khác. Giờ đây, ChatGPT, OpenAI và các LLM khác không chỉ đặt ra các vấn đề đạo đức bằng cách đào tạo các mô hình của họ về dữ liệu thu thập trên Internet mà LLM còn đang tác động tiêu cực đến lưu lượng truy cập web của doanh nghiệp, điều này có thể gây tổn hại lớn đến doanh nghiệp đó.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Những ngày gần đây, liên tục các kênh YouTube với lượng người theo dõi lớn như Mixigaming với 7,32 triệu người theo dõi của streamer nổi tiếng Phùng Thanh Độ (Độ Mixi) hay Quang Linh Vlogs - Cuộc sống ở Châu Phi với 3,83 triệu người theo dõi của YouTuber Quang Linh đã bị tin tặc tấn công và chiếm quyền kiểm soát.
10:00 | 22/04/2024
