Tuy nhiên, mỗi nền tảng lại có hướng phát triển và cách công khai thông tin khác nhau, như việc công khai hay bí mật về các chương trình, cách báo cáo lỗ hổng trong các chương trình bug bounty, thông tin về người chơi tham gia. Dưới đây là 5 nền tảng Bug bounty cung cấp các chương trình bug bounty hàng đầu hiện nay do Geekflare bình chọn.
Nền tảng tìm kiếm lỗ hổng bảo mật HackerOne lần đầu ra mắt vào năm 2013. Nền tảng này hoạt động trên 9 tên miền khác nhau như: hackerone.com, https://hackerone-us-west-2-production-attachments.s3-us-west-2.amazonaws.com/, https://api.hackerone.com và *.vpn.hackerone.net….
Trong số các nền tảng tiền thưởng lỗi, HackerOne được xem là nền tảng đi đầu trong việc thu hút đông đảo người chơi tham dự, các chương trình tiền thưởng, truyền bá thông tin và những đóng góp tới cộng đồng.
Có 2 cách để các công ty tham gia vào nền tảng HackerOne: Sử dụng nền tảng để thu thập các báo cáo về lỗ hổng và tự mình giải quyết hoặc để các chuyên gia tại HackerOne xử lý (triaging). Triaging đơn giản là quá trình trung gian biên soạn các báo cáo về các lỗ hổng bảo mật và giao tiếp với các người chơi.
HackerOne được sử dụng bởi những tên tuổi nổi tiếng như Google Play, PayPal, GitHub, Starbucks… Đặc biệt, nền tảng này chấp nhận các lỗ hổng được báo cáo nằm ngoài phạm vi các chương trình tiền thưởng.
Giao diện Nền tảng HackerOne - Website: https://hackerone.com/security
Hàng năm, HackerOne sẽ công bố Báo cáo Top 10 các chương trình bào mật công khai trên nền tảng này. Năm 2020, Chương trình Verizon Media đứng đầu với 1.315 người chơi tham dự có tổng tiền thưởng lên tới 9.408.000 USD. Đứng thứ 2 là PayPal với 371 người chơi và 2.790.000 USD. Một chương trình khác cũng thu hút 635 người chơi xếp ở vị trí thứ 3 là Uber với tổng giá trị tiền thưởng là 2.415.000 USD.
Đối với Hackerone, thông tin về người báo cáo lỗ hổng trong các chương trình (công khai và bí mật), số lượng báo cáo, thông tin chi tiết về các khoảng tiền thưởng, tổng số lỗ hổng (đã báo cáo và xử lý xong), thời gian phản hồi trung bình của chương trình đều được công bố.
Thành lập năm 2014, Bugcrowd cung cấp một số giải pháp để đánh giá bảo mật, một trong số đó là Bug Bounty. Nền tảng này cung cấp giải pháp SaaS tích hợp với vòng đời phần mềm của các công ty, khiến việc vận hành một chương trình tiền thưởng lỗi cho các doanh nghiệp trở nên dễ dàng.
Các doanh nghiệp có thể chọn một chương trình tiền thường lỗi riêng tư với một số lượng tin tặc giới hạn hoặc một chương trình công khai.
Khác với HackerOne, nền tảng Bugcrowd tiết lộ các thông tin theo một giới hạn như: trung bình số tiền thưởng đã trả cho người tham gia trong 3 tháng gần nhất, thời gian xử lý một báo cáo hợp lệ, tổng số lỗ hổng đã được trao thưởng. Các thông tin về báo cáo và người tham gia là tuyệt mật cũng như chính sách không tiết lộ bất kỳ thông tin về lỗ hổng nào trong chương trình khi chưa có sự cho phép từ phía chủ chương trình.
Giao diện Nền tảng Bugcrowd Website: https://www.bugcrowd.com/
YesWeHack thành lập năm 2013 có trụ sở chính tại Pháp. Hiện tại, nền tảng này kết nối hơn 21.000 chuyên gia tại trên 170 quốc gia với các tổ chức. YesWeHack hoạt động với 2 loại chương trình là riêng tư (dựa trên lời mời) và các chương trình công khai (Vulnerability Disclosure Program - VDP). VDP nhằm đưa ra thông tin về chính sách tiếp nhận lỗ hổng từ bên ngoài và thông tin liên hệ để báo cáo của các công ty, tổ chức. Đây là những chương trình mà tất cả mọi người đều có thể tham gia công khai và thực hiện kiểm thử xâm nhập theo chính sách, mục tiêu của chương trình. Đặc biệt, YesWeHack tuân thủ quy định nghiêm ngặt của Châu Âu.
Giao diện Nền tảng YesWeHack Website: https://www.yeswehack.com/
Được thành lập vào năm 2016 - Intigriti là một nền tảng bảo mật sử dụng nguồn lực cộng đồng, nơi các nhà nghiên cứu bảo mật và các công ty gặp gỡ nhau, với phương châm là một nền tảng săn tiền thưởng có đạo đức.
Theo đại diện của Intigriti, họ bày tỏ mong muốn xác định và xử lý các lỗ hổng bảo mật một cách hiệu quả về chi phí. Nền tảng được quản lý tạo điều kiện thuận lợi cho việc kiểm tra bảo mật trực tuyến thông qua cộng tác với các nhà nghiên cứu giàu kinh nghiệm với trọng tâm là người Châu Âu. Cùng nhau, có thể cung cấp nguồn sáng tạo vô tận để mô phỏng các mối đe dọa có thể xảy ra.
Giao diện Nền tảng Intigriti Website: https://www.intigriti.com/
Nền tảng Synack là một ngoại lệ của trong thị trường bug bounty, bởi nó phá vỡ khuôn mẫu mà các nền tảng khác vận hành. Synack có điểm nhấn chính là Hack the Pentagon. Không chỉ tìm kiếm lỗ hổng, Synack còn hướng dẫn bảo mật và đào tạo cấp cao. Được biết đến là nền tảng tình báo của Mỹ, Synack tự động hóa việc phát hiện ra các điểm cuối và tài sản dễ bị tấn công.
Về mặt thông tin, Synack còn bí mật hơn các nền tảng khác khi không công khai bất kỳ thông tin nào về các chương trình bug bounty và người tham gia. Để tham dự, người chơi phải trải qua nhiều vòng phỏng vấn, kiểm tra nghiêm ngặt. Sau khi được chấp nhận trở thành một thành viên của nền tảng, các chương trình bug bounty cũng ở mức giới hạn và bí mật. Thông tin có thể được tiết lộ chỉ là danh sách các lỗ hổng đã được báo cáo và phân loại các lỗ hổng. Mức tiền thưởng cho các chương trình là giống nhau phân theo mức độ nghiêm trọng của từng báo cáo.
Giao diện nền tảng Synack Website: https://www.synack.com/.
Trí Công
08:00 | 05/03/2021
16:00 | 03/09/2021
08:00 | 01/11/2021
09:00 | 06/09/2021
09:00 | 22/10/2021
08:00 | 24/04/2019
10:00 | 24/04/2024
10:00 | 04/10/2020
13:00 | 29/12/2023
Hiện nay, số lượng các vụ tấn công mạng trên ứng dụng web đang có xu hướng ngày càng gia tăng cả về quy mô lẫn mức độ tinh vi, với mục tiêu nhắm vào các dịch vụ cơ sở trọng yếu, khối tài chính, ngân hàng và các tổ chức/doanh nghiệp (TC/DN) lớn. Hậu quả của các cuộc tấn công này có thể là giả mạo giao dịch, gián đoạn hoạt động kinh doanh hay vi phạm dữ liệu, dẫn đến nguy cơ rò rỉ thông tin và mất mát dữ liệu quan trọng. Điều này gây ra nhiều thiệt hại đáng kể về tài chính cũng như uy tín của các TC/ DN. Bài báo sẽ trình bày thực trạng về bảo mật ứng dụng web năm 2023 dựa trên báo cáo của công ty an ninh mạng OPSWAT, cùng các giải pháp phòng tránh mối đe dọa tấn công mạng này.
08:00 | 21/12/2023
Theo số liệu của DataReportal, hiện Việt Nam đang có khoảng 49,9 triệu người sử dụng mạng xã hội TikTok, xếp thứ 6 trên 10 quốc gia có số người sử dụng TikTok nhiều nhất thế giới. Đáng chú ý là mạng xã hội này đang dần chiếm lĩnh thị trường nhờ vào những đoạn video có nội dung đa dạng mang tính "gây nghiện", thu hút mọi lứa tuổi trong đó có trẻ em. Tuy nhiên không như những mạng xã hội khác, TikTok thường xuyên bị cáo buộc việc gây ra những rủi ro nghiêm trọng về bảo mật và quyền riêng tư của người dùng. Thời gian qua đã có ít nhất 10 quốc gia cấm sử dụng ứng dụng này, trong đó có những nguyên nhân là do Tiktok gây ảnh hưởng nghiêm trọng tới suy nghĩ và hành động của trẻ em.
10:00 | 10/11/2023
Google đã thực hiện một bước quan trọng nhằm tăng cường bảo mật Internet của Chrome bằng cách tự động nâng cấp các yêu cầu HTTP không an toàn lên các kết nối HTTPS cho toàn bộ người dùng.
08:00 | 06/11/2023
Khi 5G ngày càng phổ biến và được nhiều doanh nghiệp sử dụng cho truyền tải không dây, một câu hỏi quan trọng được đặt ra đó là: “Ai chịu trách nhiệm đảm bảo bảo mật cho 5G?”. Việc triển khai 5G bảo mật bao gồm nhiều khía cạnh và trách nhiệm, nó sẽ là trách nhiệm chung của cả các nhà cung cấp dịch vụ và các doanh nghiệp triển khai.
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Những ngày gần đây, liên tục các kênh YouTube với lượng người theo dõi lớn như Mixigaming với 7,32 triệu người theo dõi của streamer nổi tiếng Phùng Thanh Độ (Độ Mixi) hay Quang Linh Vlogs - Cuộc sống ở Châu Phi với 3,83 triệu người theo dõi của YouTuber Quang Linh đã bị tin tặc tấn công và chiếm quyền kiểm soát.
10:00 | 22/04/2024