Tuy nhiên, mỗi nền tảng lại có hướng phát triển và cách công khai thông tin khác nhau, như việc công khai hay bí mật về các chương trình, cách báo cáo lỗ hổng trong các chương trình bug bounty, thông tin về người chơi tham gia. Dưới đây là 5 nền tảng Bug bounty cung cấp các chương trình bug bounty hàng đầu hiện nay do Geekflare bình chọn.
Nền tảng tìm kiếm lỗ hổng bảo mật HackerOne lần đầu ra mắt vào năm 2013. Nền tảng này hoạt động trên 9 tên miền khác nhau như: hackerone.com, //hackerone-us-west-2-production-attachments.s3-us-west-2.amazonaws.com/, //api.hackerone.com và *.vpn.hackerone.net….
Trong số các nền tảng tiền thưởng lỗi, HackerOne được xem là nền tảng đi đầu trong việc thu hút đông đảo người chơi tham dự, các chương trình tiền thưởng, truyền bá thông tin và những đóng góp tới cộng đồng.
Có 2 cách để các công ty tham gia vào nền tảng HackerOne: Sử dụng nền tảng để thu thập các báo cáo về lỗ hổng và tự mình giải quyết hoặc để các chuyên gia tại HackerOne xử lý (triaging). Triaging đơn giản là quá trình trung gian biên soạn các báo cáo về các lỗ hổng bảo mật và giao tiếp với các người chơi.
HackerOne được sử dụng bởi những tên tuổi nổi tiếng như Google Play, PayPal, GitHub, Starbucks… Đặc biệt, nền tảng này chấp nhận các lỗ hổng được báo cáo nằm ngoài phạm vi các chương trình tiền thưởng.
Giao diện Nền tảng HackerOne - Website:
Hàng năm, HackerOne sẽ công bố Báo cáo Top 10 các chương trình bào mật công khai trên nền tảng này. Năm 2020, Chương trình Verizon Media đứng đầu với 1.315 người chơi tham dự có tổng tiền thưởng lên tới 9.408.000 USD. Đứng thứ 2 là PayPal với 371 người chơi và 2.790.000 USD. Một chương trình khác cũng thu hút 635 người chơi xếp ở vị trí thứ 3 là Uber với tổng giá trị tiền thưởng là 2.415.000 USD.
Đối với Hackerone, thông tin về người báo cáo lỗ hổng trong các chương trình (công khai và bí mật), số lượng báo cáo, thông tin chi tiết về các khoảng tiền thưởng, tổng số lỗ hổng (đã báo cáo và xử lý xong), thời gian phản hồi trung bình của chương trình đều được công bố.
Thành lập năm 2014, Bugcrowd cung cấp một số giải pháp để đánh giá bảo mật, một trong số đó là Bug Bounty. Nền tảng này cung cấp giải pháp SaaS tích hợp với vòng đời phần mềm của các công ty, khiến việc vận hành một chương trình tiền thưởng lỗi cho các doanh nghiệp trở nên dễ dàng.
Các doanh nghiệp có thể chọn một chương trình tiền thường lỗi riêng tư với một số lượng tin tặc giới hạn hoặc một chương trình công khai.
Khác với HackerOne, nền tảng Bugcrowd tiết lộ các thông tin theo một giới hạn như: trung bình số tiền thưởng đã trả cho người tham gia trong 3 tháng gần nhất, thời gian xử lý một báo cáo hợp lệ, tổng số lỗ hổng đã được trao thưởng. Các thông tin về báo cáo và người tham gia là tuyệt mật cũng như chính sách không tiết lộ bất kỳ thông tin về lỗ hổng nào trong chương trình khi chưa có sự cho phép từ phía chủ chương trình.
Giao diện Nền tảng Bugcrowd Website:
YesWeHack thành lập năm 2013 có trụ sở chính tại Pháp. Hiện tại, nền tảng này kết nối hơn 21.000 chuyên gia tại trên 170 quốc gia với các tổ chức. YesWeHack hoạt động với 2 loại chương trình là riêng tư (dựa trên lời mời) và các chương trình công khai (Vulnerability Disclosure Program - VDP). VDP nhằm đưa ra thông tin về chính sách tiếp nhận lỗ hổng từ bên ngoài và thông tin liên hệ để báo cáo của các công ty, tổ chức. Đây là những chương trình mà tất cả mọi người đều có thể tham gia công khai và thực hiện kiểm thử xâm nhập theo chính sách, mục tiêu của chương trình. Đặc biệt, YesWeHack tuân thủ quy định nghiêm ngặt của Châu Âu.
Giao diện Nền tảng YesWeHack Website:
Được thành lập vào năm 2016 - Intigriti là một nền tảng bảo mật sử dụng nguồn lực cộng đồng, nơi các nhà nghiên cứu bảo mật và các công ty gặp gỡ nhau, với phương châm là một nền tảng săn tiền thưởng có đạo đức.
Theo đại diện của Intigriti, họ bày tỏ mong muốn xác định và xử lý các lỗ hổng bảo mật một cách hiệu quả về chi phí. Nền tảng được quản lý tạo điều kiện thuận lợi cho việc kiểm tra bảo mật trực tuyến thông qua cộng tác với các nhà nghiên cứu giàu kinh nghiệm với trọng tâm là người Châu Âu. Cùng nhau, có thể cung cấp nguồn sáng tạo vô tận để mô phỏng các mối đe dọa có thể xảy ra.
Giao diện Nền tảng Intigriti Website:
Nền tảng Synack là một ngoại lệ của trong thị trường bug bounty, bởi nó phá vỡ khuôn mẫu mà các nền tảng khác vận hành. Synack có điểm nhấn chính là Hack the Pentagon. Không chỉ tìm kiếm lỗ hổng, Synack còn hướng dẫn bảo mật và đào tạo cấp cao. Được biết đến là nền tảng tình báo của Mỹ, Synack tự động hóa việc phát hiện ra các điểm cuối và tài sản dễ bị tấn công.
Về mặt thông tin, Synack còn bí mật hơn các nền tảng khác khi không công khai bất kỳ thông tin nào về các chương trình bug bounty và người tham gia. Để tham dự, người chơi phải trải qua nhiều vòng phỏng vấn, kiểm tra nghiêm ngặt. Sau khi được chấp nhận trở thành một thành viên của nền tảng, các chương trình bug bounty cũng ở mức giới hạn và bí mật. Thông tin có thể được tiết lộ chỉ là danh sách các lỗ hổng đã được báo cáo và phân loại các lỗ hổng. Mức tiền thưởng cho các chương trình là giống nhau phân theo mức độ nghiêm trọng của từng báo cáo.
Giao diện nền tảng Synack Website:.
Trí Công
08:00 | 05/03/2021
16:00 | 03/09/2021
09:00 | 28/04/2024
08:00 | 01/11/2021
09:00 | 22/10/2021
09:00 | 06/09/2021
09:00 | 28/04/2024
08:00 | 24/04/2019
10:00 | 24/04/2024
10:00 | 04/10/2020
09:00 | 25/07/2024
Thế vận hội Olympics – một sự kiện thể thao lớn nhất trong năm 2024 sẽ được bắt đầu vào ngày 27/7 tại Paris, Pháp. Đây sẽ là thời điểm tội phạm mạng tìm kiếm cơ hội tấn công nhắm vào các tổ chức, cá nhân với động cơ trực tiếp là tài chính thông qua các hình thức như lừa đảo, gian lận kỹ thuật số hoặc thu thập dữ liệu có giá trị từ người tham dự, người xem và nhà tài trợ.
09:00 | 13/06/2024
Trong phạm vi của bài báo này, chúng tôi sẽ trình bày những nội dung xoay quanh các vấn đề về sự tác động của trí tuệ nhân tạo (AI) cùng với hậu quả khi chúng ta tin tưởng tuyệt đối vào sức mạnh mà nó mang tới. Cũng như chúng tôi đề xuất sự cần thiết của việc xây dựng và hoàn thiện các chính sách bảo vệ các nội dung do AI tạo ra tuân thủ pháp luật và bảo vệ người dùng.
13:00 | 29/12/2023
Hiện nay, số lượng các vụ tấn công mạng trên ứng dụng web đang có xu hướng ngày càng gia tăng cả về quy mô lẫn mức độ tinh vi, với mục tiêu nhắm vào các dịch vụ cơ sở trọng yếu, khối tài chính, ngân hàng và các tổ chức/doanh nghiệp (TC/DN) lớn. Hậu quả của các cuộc tấn công này có thể là giả mạo giao dịch, gián đoạn hoạt động kinh doanh hay vi phạm dữ liệu, dẫn đến nguy cơ rò rỉ thông tin và mất mát dữ liệu quan trọng. Điều này gây ra nhiều thiệt hại đáng kể về tài chính cũng như uy tín của các TC/ DN. Bài báo sẽ trình bày thực trạng về bảo mật ứng dụng web năm 2023 dựa trên báo cáo của công ty an ninh mạng OPSWAT, cùng các giải pháp phòng tránh mối đe dọa tấn công mạng này.
08:00 | 06/11/2023
Khi 5G ngày càng phổ biến và được nhiều doanh nghiệp sử dụng cho truyền tải không dây, một câu hỏi quan trọng được đặt ra đó là: “Ai chịu trách nhiệm đảm bảo bảo mật cho 5G?”. Việc triển khai 5G bảo mật bao gồm nhiều khía cạnh và trách nhiệm, nó sẽ là trách nhiệm chung của cả các nhà cung cấp dịch vụ và các doanh nghiệp triển khai.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Trong thời đại ngày nay, cùng với sự phát triển của khoa học kỹ thuật có ngày càng nhiều những cuộc tấn công vào phần cứng và gây ra nhiều hậu quả nghiêm trọng. So với các loại tấn công khác, tấn công qua kênh kề đang được nghiên cứu do khả năng khôi phục lại khóa bí mật trong khi hệ thống vẫn hoạt động bình thường mà không hề làm thay đổi phần cứng. Bài báo này sẽ trình bày một cách sơ lược về những kết quả cuộc tấn công kênh kề lên mã hóa RSA cài đặt trên điện thoại thông minh sử dụng hệ điều hành Android tại Viện Khoa học - Công nghệ mật mã. Nhóm tác giả đã tấn công khôi phục được một phần khóa bí mật của mã hóa RSA cài đặt trên điện thoại thông minh và chứng minh khả năng rò rỉ thông tin qua kênh kề.
14:00 | 11/09/2024
Cách mạng công nghiệp 4.0 đang trở thành hiện thực, một phần không nhỏ nhờ công nghệ Internet vạn vật công nghiệp (IIoT) và các mạng 5G dùng riêng. Đến năm 2029, thị trường cách mạng công nghiệp 4.0 dự kiến sẽ đạt giá trị 377,30 tỷ USD. Bà Marie Hattar, Phó Chủ tịch cấp cao Keysight Technologies (Hoa Kỳ), đã chia sẻ tầm quan trọng của 5G trong hành trình cách mạng công nghiệp 4.0.
13:00 | 22/10/2024
