LinkedIn récompenses jusqu’à 18 000 $ dans un chalenge Bug Bounty

LinkedIn a lancé un programme public de découvertes de bugs pour remplacer le programme sur invitation qu’il avait lancé en 2014.

Le programme de primes de bogues de LinkedIn, récompense jusqu’à 18 000 $

LinkedIn vient de lancé en mai 2022 un nouveau challenge de bugs appelé Bug Bounty pour découvrir les éventuelles failles de son code informatique. Les vulnérabilités de sécurité critiques découvertes sur la plateforme de médias sociaux rapporteront aux dénicheurs des primes allant de 5 000 $ à 15 000 $, les problèmes de gravité élevée seront récompensés entre 2 500 $ et 5 000 $, et les failles de gravité moyenne rapporteront aux découvreurs de bogues entre 250 $ et 2 500 $.

En informatique, un bug (de l’anglais « insecte ») ou bogue est un défaut de conception d’un programme informatique à l’origine d’un dysfonctionnement.

Des experts en sécurité et des membres du Congrès américain, avaient blâmé la firme LinkedIn pour un piratage de 2012 qui, avait affecté 6,4 millions de mots de passe d’utilisateurs. En 2016, une fuite de données comprenait les e-mails et des mots de passe appartenant à 117 millions d’utilisateurs de LinkedIn.

Détail du programme Bug Bounty de LinkedIn

Le challenge Bug Bounty qui est hébergé par HackerOne, invite les pirates à sonder le domaine Web principal, LinkedIn.com, à la recherche de failles de sécurité, ainsi que l’API LinkedIn ainsi que les applications mobiles Android et iOS.

Seuls les problèmes de mise en œuvre et de conception qui ont un impact substantiel sur les données des membres de LinkedIn ou sur l’infrastructure de LinkedIn sont dans le champ d’application. Exemples :

  • Script intersite
  • Falsification de requêtes intersites
  • Injection SQL
  • Failles d’authentification (site Web, mobile ou API)
  • Problèmes de contrôle d’accès qui ont un impact sur les communications entre membres ou sur d’autres données qui ne sont pas partagées avec les connexions
  • Bogues d’exécution de code côté serveur

En revanche, est exclus de la couverture de l’inspection à reporter :

  • Problèmes de visibilité du profil (à l’exception des problèmes de contrôle d’accès mentionnés ci-dessus)
  • Redirections ouvertes impliquant l’utilisation des redirecteurs intégrés de LinkedIn
  • Bogues nécessitant une interaction peu probable de l’utilisateur ou reposant sur l’ingénierie sociale
  • Problèmes qui divulguent des informations sur notre infrastructure telles que les numéros de version ou les bannières
  • Déni de service
  • Clickjacking sans impact démontrable sur la sécurité
  • Meilleures pratiques générales liées aux politiques CSP, absence d’en-têtes de sécurité spécifiques, etc.
  • Vulnérabilités affectant les utilisateurs de navigateurs ou de plates-formes obsolètes
  • Tentatives physiques contre la propriété ou les centres de données de LinkedIn
  • Accéder au contenu directement depuis notre CDN (Content Delivery Network)
  • Envoyer des messages ou des invitations à n’importe qui sur LinkedIn
  • Problèmes d’injection de contenu
  • Problèmes de complexité des mots de passe pour les membres
  • Contrefaçon de demande intersite de déconnexion
  • Ingénierie sociale des employés ou sous-traitants de LinkedIn
  • Problèmes de sécurité mobile nécessitant que l’attaquant ait un accès physique à l’appareil ou que le téléphone soit rooté ou jailbreaké

Qui peut participer ?

Toutes personnes compétentes en informatique et ayant plus de 16 ans peut participer à ce challenge.

Les chercheurs de bugs doivent respecter la vie privée des membres LinkedIn et ne doivent pas dégrader, interrompre l’usage global de LinkedIn. Ils ne doivent pas modifier, supprimer ou utiliser à mauvais escient les données des membres de LinkedIn, ni accéder aux informations non publiques des membres sans autorisation ou enfreindre de toute autre manière les Conditions d’utilisation de LinkedIn. 

Est-ce sérieux ?

Le précédent programme privé qu’avait lancé LinkedIn avait attribué plus de 250 000 dollars sur près de 500 soumissions couvrant la plateforme des membres LinkedIn et les applications mobiles.

À l’heure de l’écriture de ce billet, LinkedIn a reçu déjà 145 rapports. À vous de chercher 🙂

Plus d'articles