行业新闻与博客

法国官方的 Covid-19 联系人跟踪应用程序的私人 bug 赏金计划于周二（6月2日）公开发布，恰逢该应用程序在 Google Play 和 Apple 的 App Store 上市。

现在，使用 YesWehack 平台在 120 多个国家 / 地区拥有 15,000 多名道德黑客，他们现在可以探测 StopCovid 应用程序的安全漏洞。

欧洲漏洞悬赏平台说：“在第二步中，StopCovid 项目团队强调了众包安全性在数据保护中对抗 COVID-19 的关键作用-以及 [b] 赏金如何帮助建立信任和透明度。”

法国政府是欧洲第一个对其冠状病毒接触追踪应用进行众包安全研究审查的机构。

在欧洲以外，印度还为其 Covid-19 应用程序启动了一个漏洞赏金计划，该程序最近以开源应用程序的形式发布。

StopCovid 付款

YesWeHack 上的 StopCovid 错误赏金页面解释说，在 StopCovid 中发现的严重缺陷将使漏洞赏金猎人获得高达 2,000 欧元（2,240 美元）的收益，而严重程度较高的漏洞将使他们获得最高 750 欧元（840 美元）的收益。

“低”或“中”严重性漏洞为研究人员赢得了“特殊版 T 恤”，但没有获得金钱奖励。

自 4月26日以来，由研究人员和私人公司组成的财团在不付费的情况下开发了开源应用程序，YesWeHack 已同意为赏金提供资金。

Bug 猎手可以根据计划的条款进行协作，与多达五个其他猎手以集体的形式共享他们的报告和任何奖励。

可以将影响 StopCovid 托管服务提供商 Outscale 的漏洞报告给其自己的漏洞赏金计划。

推荐的 漏洞赏金雷达 // 2020年5月最新的漏洞赏金计划

在为期一周的私人计划（于 5月27日开始）期间，约有 35 名精心挑选的道德黑客向 StopCovid 项目团队发出了七个范围内或“普遍利益”漏洞的警报。

根据 GitLab 错误跟踪器报告，有 5 个被评为次要到中级安全漏洞，其余两个则是功能性问题。

纠正缺陷的软件更新正在开发中。

ROBERT 协议

就在法国开始放松其全国范围的封锁的第二阶段之时，StopCovid 正式启动。

StopCovid 项目避开了 Apple 和 Google 的分散式联系人跟踪 API，使用了 ROBERT 协议，该协议在中央服务器上而不是在智能手机中处理数据。

一组 471 名法国密码和安全研究人员于 4月底签署了一封信，敦促政府减轻围绕该项目的隐私和数据保护风险。

法国国家信息系统安全局已发布建议  （PDF），以确保该项目的安全性并保护用户的隐私。

全球有 70 多个国家正在开发，正在考虑开发或已经发布了一种接触追踪应用程序，以遏制 Covid-19 的普及。

YesWeHack 也代表了法国国防部的进行操作错误赏金计划方向 interministérielle 杜 NUMERIQUE（法国的数字化改造机构），并 Cyber​​malveillance.gouv.fr，政府网站，支持网络攻击的受害者。

本文由机器译制