世界上 26 个最昂贵的 bug 赏金计划

错误赏金计划有助于发现组织提供的网站、服务和产品中的问题（错误和漏洞）。

但这怎么可能发生呢？它是什么？为什么组织要有它们？

我们在这里讨论这个问题，以及由世界上最大的科技公司构建的错误赏金平台列表。

什么是错误赏金计划？

错误赏金计划奖励发现我们服务/网站中错误和安全漏洞的独立研究人员和道德黑客。

错误赏金计划是安全研究人员和黑客测试其技能的好地方。它有一种公开比赛的感觉，你可以利用你的技能来争夺奖金。

根据您的活动，它最终可能成为一份全职工作。对于某些人来说，这可能是一项有益的副业。

这些平台通常会为报告其服务中的严重问题提供巨额现金奖励。

还需要注意的是，有两个不同的错误赏金平台。一些公司更喜欢构建自己的平台，而另一些公司则使用现有的第三方错误赏金平台并添加上述奖励目标/任务。

但是，某些报告有一组符合报告资格的最低要求。因此，并非您报告的每个错误都会为您带来奖励。

在决定是否投入时间之前，仔细阅读错误赏金计划的规则和指南可能会有所帮助。

为什么我的组织有错误赏金平台？

我们发现错误赏金计划允许任何组织聘请独立的安全研究人员（或他们不直接雇用的专家）来查找其产品和网站中的错误和漏洞。

但为什么大公司需要错误赏金计划呢？

您不是已经拥有熟练的员工来不断改进您的服务吗？

从技术上来说是的。然而，创建错误赏金平台的目的是让更多的安全研究人员来审核或测试该服务（免费）。

这是正确的。

整个社区的道德黑客和研究人员测试了该服务并通过报告提供反馈。

您无需预先支付工作费用。

仅当个人提交有效的错误或安全报告时，公司才会支付奖励（通常是利润）。

总体而言，错误赏金计划有利于公司改进产品，也有利于道德黑客和研究人员。

所以这是一个双赢的局面。

最大的错误赏金计划

世界各地有无数的错误赏金计划。在这里，我们将重点关注一些最著名的程序。

请注意，每个计划对于资格和奖励都有不同的规则。有些针对基于软件的问题提供奖励和认可，而另一些则涉及硬件。因此，请务必查看资格标准、合格报告规则以及有资格获奖的漏洞类型。

苹果安全赏金

Apple Security Bounty是最大的道德黑客平台之一。我们针对 iCloud 及其智能手机上的各种安全问题提供高达 1,000,000 美元（1,000,000 美元）的奖励。

除了奖金之外，通过与 Apple 互动并撰写成功的报告，您的工作还将受到公众的高度赞赏。

他们还向一些符合条件的慈善机构提供赏金，这是一件好事。

元错误赏金

Meta（以前的 Facebook）也有一个 bug 赏金计划（也称为Whitehat） 。

奖励最高可达 45,000 美元。根据错误的严重程度，奖励可能会大得多（或小得多）。

Meta 将通过公布所有安全研究人员的名字来表达我们的谢意。您可以找到自 2011 年以来研究人员的学分。

除此之外，我们还提供忠诚度计划，您可以将奖励加倍（高达 20%），并通过 Meta 赚取赞助旅行/黑客活动旅行。

谷歌漏洞猎人

Bug Hunters 赏金计划允许您跨多个 Google 域/服务（YouTube、Blogger 等）报告问题。

对于特别报告，奖励最高可达 30,000 美元或更多。

它还拥有一个学习平台，您可以从现有示例中获得灵感和目标，并边学习边学习。

微软漏洞赏金

Microsoft 的错误赏金计划提供了充足的机会来做出贡献并让您的工作得到认可。

根据举报的严重程度和类型，奖励最高可达 100 万美元或更多。

Mozilla 安全漏洞赏金

Mozilla 的安全计划对于研究人员来说是一个令人兴奋的平台。他的预计奖金尚未公开，但他的名字将出现在名人堂名单中。

叽叽喳喳

与其他公司不同的是，Twitter 使用第三方漏洞赏金平台让研究人员参与其中。最低奖励从 280 美元起，最高为 20,000 美元。

它还包括HackerOne 平台名人堂，以表彰合格的研究人员。

优步

Uber 的错误赏金计划也依赖于 HackerOne，您可以通过批评报告赚取高达 15,000 美元的奖金，从而在名人堂中获得一席之地。

特斯拉

特斯拉的错误赏金计划可以在另一个第三方错误赏金平台 Bugcrowd 上找到。

每个漏洞的赏金最高可达 15,000 美元，具体取决于资格标准。

英特尔漏洞赏金

英特尔的错误赏金计划已在initigriti 平台上列出。对于研究人员来说，这是一个发现软件、固件和英特尔硬件问题的独特机会。

奖励最高可达 100,000 美元。

腾讯安全响应中心

腾讯的漏洞赏金计划涵盖微信、QQ、腾讯网站、域名以及其拥有的其他一些应用程序等各种资产。

赔偿可能不是最高的，但重大披露的赔偿最高可达 3,800 美元。您将获得名人堂板。

三星奖励计划

三星奖励计划是针对三星移动产品的错误赏金计划。

考虑到您的报告符合资格，根据问题的严重程度，奖金可能高达 200,000 美元或更多。您也可以使用官方网站进行举报，但我们依靠 Bugcrowd 来处理付款并联系研究人员。

思科梅拉基

思科以企业为中心、云控制的 WiFi、路由和安全产品及服务使用Bugcrowd来实施其错误赏金计划。如果您认为这是一项专业服务，那么发现问题所需的工作和技能可能会充满挑战，甚至令人兴奋。

对于严重的问题，奖金最高可达 10,000 美元。

Netflix 漏洞赏金

Bugcrowd 上还提供Netflix 的错误赏金计划，其中列出了符合测试/报告条件的所有域/服务。

每个漏洞的赏金最高可达 20,000 美元。

贝宝

Paypal 的错误赏金计划由 HackerOne 平台提供支持。您还需要启用双因素身份验证才能参与。

对于关键漏洞报告，奖励最高可达20,000美元。

Intuit 漏洞赏金

Intuit 是 QuickBooks、TurboTax 和 Mint 等产品背后的公司，提供使用其官方网站和HackerOne 上的表格提交报告的功能。

在 HackerOne，我们的错误赏金计划是私人的。因此，您必须登录您的帐户进行确认并参与。

购物

Shopify 是最受欢迎的电子商务平台之一，拥有 HackerOne 的漏洞赏金计划，针对严重漏洞提供高达 50,000 美元的赏金。

阿里巴巴

阿里巴巴的 BugBounty 计划涵盖了阿里巴巴旗下的大部分网站/服务。如果您通过官方网站提交漏洞报告，则可以获得高达 2,500 美元的奖励。

声音云

Soundcloud 是最大的开放音频平台之一，提供基于 Bugcrowd 的错误赏金计划，针对报告的严重漏洞提供高达 4,500 美元的赏金。

你可以在 bugcrowd 上获得通常的名人堂。

爱彼迎

Airbnb 通过其 HackerOne 漏洞赏金平台提供高达 15,000 美元的奖励。我们还开展促销活动，鼓励黑客解决新的严重漏洞，同时提供 50% 的奖金。

Booking.com

Booking.com 不会透露有关HackerOne的具体细节（目标域名除外）。

您可以通过 HackerOne 的披露援助计划联系我们的安全团队。

小米

小米将 HackerOne 用于其错误赏金计划。该计划涵盖为研究人员提供的多项服务，并针对商业产品中的关键漏洞提供高达 8,000 美元的奖励，以及特殊奖励和奖金。

正方形

Square是一款可在智能手机上使用的POS应用程序。 Bugcrowd 为通过 Bugcrowd 的错误赏金计划报告其应用程序/网站中的关键漏洞提供高达 5000 美元的赏金。

任天堂

任天堂的错误赏金计划有助于发现玩家作弊、游戏盗版和其他技术问题。

奖励最高可达 12,000 美元。

币库

Coinbase 是领先的加密货币交易平台。通过 HackerOne，我们提供错误赏金计划，奖励高达 50,000 美元。

云耀

Cloudflare 提供大部分基本服务，帮助互联网公司保护和改进其网络服务。 HackerOne的错误赏金计划描述了研究人员可以寻找的不同问题，以及您需要的所有文档的链接。

对于严重的问题，奖金最高可达 3,000 美元。

ExpressVPN

ExpressVPN 的漏洞赏金计划可能是其他 VPN 服务提供商中规模最大的。

除了高达 2,500 美元的定期奖励之外，您还将因为第一个报告远程代码执行漏洞或暴露客户端 IP 地址的问题而获得高达 1,00,000 美元的一次性奖金。

探索、奖励和评估错误

鉴于漏洞赏金计划为道德黑客提供了测试其技能的场所，对于独立研究人员和公司来说，改善他们的服务似乎是个好主意。

遵循错误赏金计划中规定的规则/指南非常重要。如果您不符合标准，您将浪费时间，并且您的报告将没有资格获得补偿。

您可能还对道德黑客培训中心感兴趣。