Pensez-vous avoir trouvé une vulnérabilité dans la Sony PlayStation 4 ou le PlayStation Network?
Si c'est le cas, vous pourriez vous diriger vers une somme d'argent importante. C'est parce que Sony détails annoncés d'un nouveau programme de primes de bogues qu'il exécute en coordination avec plate-forme de rapport de vulnérabilité Hacker One.
Sony invite les chercheurs en sécurité, les joueurs et toute autre personne intéressée à "tester la sécurité de PlayStation 4 et PlayStation Network".
Auparavant, Sony avait mis en place un programme de primes aux bogues sur invitation uniquement avec certains chercheurs en sécurité, mais il dit qu'il pense maintenant que la meilleure façon d'améliorer la sécurité est d'embrasser la communauté au sens large.
Pour encourager les tests par plus de personnes, le programme de primes aux bogues offrira des récompenses pour différents niveaux de vulnérabilités révélées de manière responsable, atteignant plus de 50,000 $ pour des vulnérabilités critiques auparavant inconnues sur la PS4.
Bien entendu, il y a certaines règles.
Les récompenses Bounty varient en taille en fonction de la gravité de la vulnérabilité et de la qualité du rapport (les deux seront déterminées par Sony). Pour une vulnérabilité de faible gravité sur PlayStation Network, par exemple, vous pourriez ne recevoir qu'une récompense de 100 $, augmentant jusqu'à un minimum de 3,000 $ pour les détails d'un problème de sécurité de haute gravité.
Sur la PlayStation 4 elle-même, les chiffres augmentent rapidement pour dépasser les 50,000 XNUMX $ pour les rapports les plus critiques.
Si vous avez envie de signaler une vulnérabilité du PlayStation Network, vous devez savoir que seuls les domaines suivants sont susceptibles d'être récompensés:
- * .playstation.net
- * .sonyentertainmentnetwork.com
- * .api.playstation.com
- mon.playstation.com
- Store.playstation.com
- social.playstation.com
- transaction.playstation.com
- portefeuilles.api.playstation.com
Cela ne signifie pas que vous avez la liberté de spammer ces sites ou de lancer des attaques par déni de service distribué (DDoS) contre eux. Le fait de perturber intentionnellement les opérations de Sony ou de causer des dommages ne vous rapportera aucun ami, sans parler de récompenses financières.
Et ne pensez pas que vous serez en mesure de signaler des vulnérabilités dans l'ancien matériel de jeu de Sony (telles que les versions antérieures de la PlayStation, la PS Vita ou la PSP) ou des défauts trouvés sur la PlayStation 4 si elle ne fonctionne pas avec la version actuelle. version bêta de son logiciel système.
Sony ne veut pas que vous testiez son infrastructure informatique d'entreprise. J'imagine qu'il a des équipes de sécurité interne et des sociétés tierces expertes qui l'aident dans ce genre de travail. La dernière chose qu'ils voudraient, c'est que chaque homme et son chien essaient de pirater leurs serveurs de messagerie d'entreprise.
Cela ne veut pas dire que Sony pourrait ne pas être intéressé si vous trouvez des vulnérabilités qui ne sont pas couvertes par les règles du programme de prime aux bogues PlayStation. C'est juste que vous devrez les signaler via un processus de prime de bogue séparé et jouer selon ses règles.
Mais si vous trouvez une vulnérabilité critique dans la PlayStation 4 ou le PlayStation Network, vous pourriez vous retrouver à recevoir une récompense substantielle - à condition que vous soyez prêt à travailler avec Sony, en leur donnant le temps de résoudre tout problème avant de devenir public à propos de ça.
Pour plus de détails sur ce que vous pouvez faire, ce que vous ne pouvez pas faire et comment vous pourriez être récompensé, consultez le Page de primes de bogue Sony PlayStation sur HackerOne.
Note de l'éditeur: Les opinions exprimées dans cet article de l'auteur invité sont uniquement celles du contributeur et ne reflètent pas nécessairement celles de Tripwire, Inc.