نگاهی به برنامه Bug Bounty ما در سال 2022


با پایان سال جاری، ما تعدادی به روز رسانی در مورد کار خود برای محافظت از مردم در سراسر جهان در برابر تهدیدات مختلف به اشتراک می گذاریم. به عنوان بخشی از این، ما برخی از به‌روزرسانی‌های برنامه پاداش باگ خود را در سال گذشته به اشتراک می‌گذاریم، نگاهی به نحوه کار با محققان خارجی برای کمک به ایمن کردن فناوری واقعیت مجازی (VR) و واقعیت مختلط، و دستورالعمل‌های پرداخت جدید با مبلغ جایزه تا 300000 دلار.

ما صدها گزارش اشکال تاثیرگذار را در سال 2022 از محققان در سراسر جهان دریافت کردیم که به امن‌تر کردن جامعه ما کمک کردند و بیش از 2 میلیون دلار جوایز جایزه پرداخت کردیم.

در اینجا برخی از نکات برجسته از برنامه پاداش باگ ما آمده است:

  • از سال 2011، ما بیش از 16 میلیون دلار پاداش باگ پرداخت کرده ایم.
  • از سال 2011، ما بیش از 170000 گزارش دریافت کرده‌ایم که از این تعداد به بیش از 8500 مورد جایزه تعلق گرفت.
  • تاکنون در سال 2022، بیش از 2 میلیون دلار به محققان بیش از 45 کشور جهان اهدا کرده ایم.
  • امسال، در مجموع حدود 10000 گزارش دریافت کردیم و برای بیش از 750 گزارش جوایزی صادر کردیم.
  • سه کشور برتر بر اساس جوایز اعطایی امسال هند، نپال و تونس هستند.

اتصال انجمن Bug Bounty با Metaverse

امسال، ما ادغام بیشتر برنامه باگ بونتی خود را در سفر خود به متاورس از طریق:

برجسته کردن دامنه برنامه ما: امروز، شرایط خود را به‌روزرسانی می‌کنیم تا مشخص کنیم که آخرین محصولات ما، Meta Quest Pro و کنترل‌کننده‌های Meta Quest Touch Pro، واجد شرایط برنامه پاداش باگ هستند.

به روز رسانی دستورالعمل های پرداخت: ما دستورالعمل‌های پرداخت جدیدی را برای فناوری VR اضافه می‌کنیم، از جمله باگ‌های مخصوص Meta Quest Pro. ما جزو اولین برنامه‌های پاداش اشکال هستیم که دستورالعمل‌های پرداخت را برای دستگاه‌های واقعیت مجازی و واقعیت ترکیبی تنظیم کرده‌ایم و همچنان به‌روزرسانی و تنظیم را با پیشرفت صنعت ادامه خواهیم داد.

قرار دادن فناوری ما در دست محققان: از آنجایی که فضای پاداش باگ برای بسیاری نسبتاً جدید است، ما امسال تلاش کردیم تا فناوری سخت افزاری خود را برای جامعه محقق در دسترس تر کنیم تا بتوانند اشکالات را پیدا کرده و گزارش دهند. به عنوان مثال، ما فناوری واقعیت مجازی خود را برای کنفرانس سالانه BountyCon که تنها کنفرانس معمولی صنعت برای شکارچیان اشکال است، متمرکز کردیم. یکی از جلسات ما که بالاترین امتیاز را در کنفرانس امسال داشت، ارائه ای در مورد نحوه جستجوی اشکالات در هدست های واقعیت مجازی و عینک های هوشمند بود. در ادامه این جلسه، از محققان دعوت کردیم تا دستگاه‌های Meta Quest 2 را بررسی کنند و از آنها در طول رویداد هک زنده ما استفاده کنند.

یکی از اشکالاتی که ما به عنوان بخشی از کنفرانس جایزه دادیم توسط محقق قدیمی ما یوسف سامودا ارائه شد، که مشکلی را در جریان oAuth متا کوئست گزارش کرد که می‌توانست منجر به تصاحب حساب با 2 کلیک شود. ما این مشکل را برطرف کردیم، تحقیقات ما هیچ مدرکی مبنی بر سوء استفاده پیدا نکرد و در مجموع 44250 دلار به این گزارش پاداش داد، از جمله پاداش های برنامه.

دستورالعمل های پرداخت جدید

برای تشویق به تحقیق در زمینه‌های خاص، دستورالعمل‌های پرداخت به‌روزرسانی شده را برای اشکالات اجرای کد از راه دور تلفن همراه (RCE) به اضافه دستورالعمل‌های پرداخت جدید برای تصاحب حساب (ATO) و احراز هویت دو مرحله‌ای (2FA) آسیب‌پذیری‌های دور زدن منتشر می‌کنیم.

این دستورالعمل‌های جدید تا 130000 دلار برای گزارش‌های ATO و 300000 دلار برای اشکالات RCE تلفن همراه متغیر است که برنامه Bug Bounty ما را به یکی از پردرآمدترین برنامه‌ها در صنعت تبدیل می‌کند.

این دستورالعمل‌ها برای تعیین میانگین حداکثر پرداخت برای یک دسته اشکال خاص و توصیف عوامل کاهش‌دهنده ما در تعیین پاداش در نظر گرفته شده‌اند تا به محققان کمک کند شکار خود را در اولویت قرار دهند. در نهایت، هر گزارش به صورت موردی ارزیابی می‌شود و در برخی موارد، بسته به تأثیر ارزیابی‌شده داخلی، ممکن است بالاتر از سقف تعیین شود.

نکات برجسته باگ

در زیر چند نمونه از اشکالات تأثیرگذار است که ما تحت دستورالعمل های جدید خود به آنها اعطا کردیم:

تصاحب حساب و زنجیره دور زدن احراز هویت دو مرحله ای: گزارشی از یااله عبدالله دریافت کردیم، که اشکالی را در جریان بازیابی حساب مبتنی بر شماره تلفن فیس‌بوک شناسایی کرد که می‌توانست به مهاجم اجازه دهد گذرواژه‌ها را بازنشانی کند و اگر حسابی توسط 2FA محافظت نمی‌شد، آن را تصاحب کند. ما این باگ را برطرف کردیم و هیچ مدرکی دال بر سوء استفاده پیدا نکردیم. ما به محقق بالاترین جایزه خود را 163000 دلار دادیم که نشان دهنده حداکثر تأثیر بالقوه و پاداش های برنامه است. در حالی که ما در حال بررسی بودیم، محقق توانست بر اساس یافته های قبلی آن را به یک باگ بای پس جداگانه 2FA زنجیره ای ایجاد کند. ما این مشکل را برطرف کرده‌ایم و به محقق 24700 دلار جایزه اضافی، شامل پاداش‌های برنامه، پاداش داده‌ایم.

2FA Bypass: ما همچنین اشکالی را که توسط Gtm Mänôz از نپال گزارش شده بود، برطرف کردیم، که می‌توانست به مهاجم اجازه دهد با استفاده از یک مشکل محدودکننده نرخ، از 2FA مبتنی بر پیامک دور بزند تا پین تأیید مورد نیاز برای تأیید شماره تلفن شخص را به زور انجام دهد. ما برای این گزارش 27200 دلار جایزه اعطا کردیم.

از انجمن باگ بوونتی برای یک سال عالی متشکریم – ما هیجان زده هستیم که دوباره در سال 2023 با هم کار کنیم.





منبع