LinkedIn розширює програму bug bounty. І збільшує винагороду для тих, хто знайде помилки на платформі
CHIANG MAI, THAILAND - Mar. 24,2019: Xiaomi Mi Mix 3 mobile phone with Linkedin application on the screen. Linkedin is a business and employment oriented social networking service.
Соціальна мережа LinkedIn запустила публічну програму винагороди за помилки, які користувачі можуть знайти на платформі. Там хочуть замінити програму bug bounty лише за запрошенням, яка працює з 2014 року. Про це пише portswigger.
Якщо людина знайде критичні вразливості безпеки на платформі, вона отримає винагороду від $5 тис. до $15 тис. Коли зможуть виявити проблеми високої серйозності, це буде сума від $2,5 тис. до $5 тис. Недоліки середньої тяжкості принесуть мисливцям за помилками від $250 до $2,5 тис.
Зараз LinkedIn працює з компанією HackerOne. Вона запрошує хакерів перевірити основний вебдомен LinkedIn.com на наявність недоліків у безпеці, а також API LinkedIn і мобільні застосунки Android та iOS.
На платформі, що належить Microsoft, є «проблеми впровадження та проєктування, які суттєво впливають на дані членів LinkedIn або інфраструктуру LinkedIn». Йдеться про міжсайтові сценарії (XSS), підробку міжсайтових запитів (CSRF), ін’єкцію SQL та інше.
«Наша команда безпеки прагне забезпечити безпечний досвід для 830 млн учасників і клієнтів: швидко усувати вразливі місця в безпеці, постійно покращувати наш захист і захищати процес розробки продукту», – написали у блозі LinkedIn, де розповіли новину.