2SDnjcoK9BL
Cloudflare запускает общедоступную программу bug bounty
Американская компания Cloudflare, специализирующаяся на веб-инфраструктуре и защите сайтов, объявила о запуске общедоступной программы bug bounty, сообщает Хакер.
С 2018 года компания предлагала исследователям закрытую программу вознаграждения за уязвимости, работающую на базе HackerOne. За пошедшие годы, в рамках этой инициативы, Cloudflare выплатила специалистам более 210 000 долларов.
«Сегодня мы запускаем общедоступную bug bounty программу Cloudflare, — пишет теперь Рушил Шах (Rushil Shah), инженер по безопасности продуктов в Cloudflare. — Мы считаем, что вознаграждения за обнаружение уязвимостей являются жизненно важной частью набора инструментов любой ИБ-команды, и последние несколько лет мы усердно работали над улучшением и расширением нашей приватной программы bug bounty».
Также стоит отметить, что перед запуском открытой программы bug bounty Cloudflare представила тестовую песочницу CumlusFire, которая предлагает охотникам за ошибками стандартизированную площадку для тестирования эксплоитов.
Открытая для всех программа по поиску уязвимостей тоже работает на базе HackerOne. Размер вознаграждений будет зависеть от серьезности проблемы согласно шкале оценки уязвимостей CVSS v3, как видно в таблице ниже.
Искать баги можно в коде таких продуктов, как Stream, резолвер 1.1.1.1, 1.1.1.1/WARP Android и iOS приложения, Magic Transit, Cloudflare Pages, Cloudflare Workers, Argo/Argo, Spectrum, Load Balancing, AMP Real URL, CDNJS, Bot Management, Cloudflare Marketplace (только сама платформа), WAF, а также Cloudflare for Teams.
| Серьезность | Критическая (9,0–10,0 баллов) | Серьезная (7,0–8,9 балла) | Средняя (4,0–6,9 балла) | Низкая (0,1–3,9 балла) |
| Основные цели | 3000 долларов | 1000 долларов | 500 долларов | 250 долларов |
| Второстепенные цели | 2700 долларов США | 750 долларов США | 350 долларов США | 200 долларов |
| Прочее | 2100 долларов США | 500 долларов | 200 долларов | 100 долларов |
Разработчики подчеркивают, что стремятся публиковать больше документации, тестовых платформ и предлагать больше способов взаимодействия с командами безопасности, чтобы создать комфортные условия для работы ИБ-специалистов.
Теги:
похожие материалы
SOC Forum 2025. Максим Бузинов, руководитель R&D-лаборатории Центра технологий кибербезопасности ГК «Солар»: Детектирование аномалий в ИБ-решениях
На полях SOC Forum 2025 Cyber Media поговорили о новых подходах к детектированию аномалий с Максимом Бузиновым, руководителем R&D-лаборатории Центра технологий кибербезопасности ГК «Солар».
Ритейл-гигант Leroy Merlin сообщил о масштабной утечке персональных данных клиентов
Во Франции ритейлер Leroy Merlin уведомил клиентов о том, что их личные данные могли попасть в руки злоумышленников.
Исследователь взломал AI-стартап Filevine и получил доступ к более чем 100 тысячам юридических файлов
Специалист по безопасности Alex Schapiro обнаружил серьёзную уязвимость в API платформы Filevine - популярного cloud-сервиса для юридических фирм.
Cloudflare зафиксировала рекордный рост DDoS-атак в третьем квартале 2025 года
Cloudflare опубликовала отчёт о DDoS-активности за третий квартал, где отмечен резкий всплеск атак по всему миру.
Роскомнадзор ограничил работу FaceTime из-за роста мошенничества
Роскомнадзор ввёл ограничения на встроенный сервис видеосвязи FaceTime.
Масштабное возвращение GlassWorm: вредоносная кампания снова активизировалась через VS Code-расширения
Исследователи из Secure Annex зафиксировали очередную волну заражений: злоумышленники вновь распространили серию вредоносных расширений для Visual Studio Code (и его аналогов) через площадки официального магазина и открытый репозиторий.
Гарда снижает нагрузку на ИБ-команды и усиливает контроль конфиденциальной информации
Новая версия «Гарда DLP» снижает трудозатраты служб информационной безопасности и ускоряет разбор ИБ-инцидентов.
SCADA без уязвимостей: «СибКом Цифра» и УЦСБ представили защищенное промышленное ПО
Российская ИТ-компания УЦСБ и «СибКом Цифра», разработчик промышленного ПО, объявляют об успешном завершении проекта по комплексному сопровождению разработки SCADA-системы «Каскад 4.
Rust-бэкдор IDFKA почти год скрытно работал в инфраструктуре телеком-подрядчика
Специалисты Solar 4RAYS выявили, что в одной из российских телекоммуникационных компаний через инфраструктуру подрядчика работала неизвестная ранее хакерская группировка, получившая обозначение NGC5081 - её кампанию удалось документировать спустя почти год скрытной работы.
Тайное исправление для Microsoft Windows закрывает давно эксплуатируемую уязвимость в обработке ярлыков
По данным исследователей из «0patch», ноябре 2025 Microsoft тихо устранила серьёзную уязвимость - CVE-2025-9491, которая позволяла злоумышленникам прятать вредоносные команды в ярлыках (.