聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
摘要
音频聊天室应用 Clubhouse 在 HackerOne 平台推出了公开的漏洞奖励计划:找到严重、高危、中危和低危漏洞的研究人员最多可获得3000美元、1500美元、500美元和100美元的奖励。
在发布该漏洞奖励几乎的同一天,Clubhouse 发布博客文章指出,“虽然很多漏洞奖励计划承诺为灾难级别的发现成果付出高额奖励,但我们的漏洞覆盖范围宽广,因此能够解决尽可能多的漏洞。为此,如果您能帮助我们解决可对社区造成损害的漏洞,则有资格获得奖励。”
快速崛起
Clubhouse 用户可设立或加入聊天室,通过设备的麦克风和朋友或陌生人畅聊所有话题。该应用在2020年3月发布,在疫情最严重的时候迅猛增长,从起初的邀请制、特斯拉首席执行官马斯克以及 Meta 公司首席执行官扎克伯格等人入场而鹊起。
在推出的一年内,Cloudhouse 的下载量已突破3400万次,不过据称之后的增长有所放缓。
漏洞奖励计划的涵盖范围
Clubhouse 公司的漏洞奖励计划包含六种资产,包括web域名clubhouse.com 和joinclubhouse.com、后端API clubhouseapi.com、Clubhouse iOS 和安卓应用,以及 Clubhouse 开发者 Alpha Exploration 的生产和企业基础设施。
Clubhouse 尤其关注可导致访问控制绕过、提权和敏感的用户信息泄露的安全漏洞。另外的两个关注重点是提升其基础设施以及内部“管理工具“的安全性。
推荐阅读
谷歌发布 Linux 内核提权漏洞奖励计划,综合奖金最高超30万美元
原文链接
https://portswigger.net/daily-swig/clubhouse-launches-bug-bounty-program-with-3-000-on-offer-for-critical-vulnerabilities
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
333
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
