در زیر چند نمونه از اشکالات تأثیرگذار است که ما تحت دستورالعمل های جدید خود به آنها اعطا کردیم:
این دستورالعملها برای تعیین میانگین حداکثر پرداخت برای یک دسته اشکال خاص و توصیف عوامل کاهشدهنده ما در تعیین پاداش در نظر گرفته شدهاند تا به محققان کمک کند شکار خود را در اولویت قرار دهند. در نهایت، هر گزارش به صورت موردی ارزیابی میشود و در برخی موارد، بسته به تأثیر ارزیابیشده داخلی، ممکن است بالاتر از سقف تعیین شود.
نکات برجسته باگ
این دستورالعملهای جدید تا 130000 دلار برای گزارشهای ATO و 300000 دلار برای اشکالات RCE تلفن همراه متغیر است که برنامه Bug Bounty ما را به یکی از پردرآمدترین برنامهها در صنعت تبدیل میکند.
قرار دادن فناوری ما در دست محققان: از آنجایی که فضای پاداش باگ برای بسیاری نسبتاً جدید است، ما امسال تلاش کردیم تا فناوری سخت افزاری خود را برای جامعه محقق در دسترس تر کنیم تا بتوانند اشکالات را پیدا کرده و گزارش دهند. به عنوان مثال، ما فناوری واقعیت مجازی خود را برای کنفرانس سالانه BountyCon که تنها کنفرانس معمولی صنعت برای شکارچیان اشکال است، متمرکز کردیم. یکی از جلسات ما که بالاترین امتیاز را در کنفرانس امسال داشت، ارائه ای در مورد نحوه جستجوی اشکالات در هدست های واقعیت مجازی و عینک های هوشمند بود. در ادامه این جلسه، از محققان دعوت کردیم تا دستگاههای Meta Quest 2 را بررسی کنند و از آنها در طول رویداد هک زنده ما استفاده کنند.
2FA Bypass: ما همچنین اشکالی را که توسط Gtm Mänôz از نپال گزارش شده بود، برطرف کردیم، که میتوانست به مهاجم اجازه دهد با استفاده از یک مشکل محدودکننده نرخ، از 2FA مبتنی بر پیامک دور بزند تا پین تأیید مورد نیاز برای تأیید شماره تلفن شخص را به زور انجام دهد. ما برای این گزارش 27200 دلار جایزه اعطا کردیم.
تصاحب حساب و زنجیره دور زدن احراز هویت دو مرحله ای: گزارشی از یااله عبدالله دریافت کردیم، که اشکالی را در جریان بازیابی حساب مبتنی بر شماره تلفن فیسبوک شناسایی کرد که میتوانست به مهاجم اجازه دهد گذرواژهها را بازنشانی کند و اگر حسابی توسط 2FA محافظت نمیشد، آن را تصاحب کند. ما این باگ را برطرف کردیم و هیچ مدرکی دال بر سوء استفاده پیدا نکردیم. ما به محقق بالاترین جایزه خود را 163000 دلار دادیم که نشان دهنده حداکثر تأثیر بالقوه و پاداش های برنامه است. در حالی که ما در حال بررسی بودیم، محقق توانست بر اساس یافته های قبلی آن را به یک باگ بای پس جداگانه 2FA زنجیره ای ایجاد کند. ما این مشکل را برطرف کردهایم و به محقق 24700 دلار جایزه اضافی، شامل پاداشهای برنامه، پاداش دادهایم.
برای تشویق به تحقیق در زمینههای خاص، دستورالعملهای پرداخت بهروزرسانی شده را برای اشکالات اجرای کد از راه دور تلفن همراه (RCE) به اضافه دستورالعملهای پرداخت جدید برای تصاحب حساب (ATO) و احراز هویت دو مرحلهای (2FA) آسیبپذیریهای دور زدن منتشر میکنیم.
از انجمن باگ بوونتی برای یک سال عالی متشکریم – ما هیجان زده هستیم که دوباره در سال 2023 با هم کار کنیم.