Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Select language
Inglese Spagnolo
Cerca
Banner Ancharia Desktop 1 1
2nd Edition GlitchZone RHC 320x100 2

Tag: bug bounty

Il Bug Bounty Funziona! Un milione di Dollari pagati da Netflix in premi dal 2016

Redazione RHC 13/06/2024

Netflix ha recentemente riferito che dal lancio del programma Bug Bounty nel 2016, il gigante dello streaming ha già pagato ai ricercatori più di un milione di dollari in premi per aver scoperto bug e vulnerabilità nei prodotti dell’azienda. Ad oggi, più di 5.600 ricercatori hanno partecipato a questo programma, inviando circa 8.000 segnalazioni di vulnerabilità uniche. Sono stati pagati premi per 845 vulnerabilità, di cui più di un quarto classificate come critiche. Inoltre, l’azienda ha recentemente annunciato l’abbandono della piattaforma di gestione delle vulnerabilità Bugcrowd utilizzata dal 2018 e il passaggio a un’altra piattaforma: HackerOne. Con il suo aiuto, Netflix promette di migliorare il reporting, aumentare i premi, espandere

La ricerca 0day verrà potenziata dall’AI? Una nuova ricerca implementa Agenti Bug Hunter coordinati

Redazione RHC 10/06/2024

I ricercatori sono stati in grado di hackerare con successo più della metà dei siti web utilizzando dei bot che utilizzavano comandi forniti su GPT-4. Questi bot coordinati creavano nuovi bot a secondo delle loro necessità, sfruttando vulnerabilità zero-day precedentemente sconosciute per hackerare i sistemi. Alcuni mesi fa, un team di ricercatori ha pubblicato un articolo in cui affermava di essere stato in grado di utilizzare GPT-4 per sfruttare le vulnerabilità di un giorno (N giorni). Queste vulnerabilità sono già note, ma non sono ancora state rilasciate patch per risolverle. Se fossero forniti elenchi CVE, GPT-4 sarebbe in grado di sfruttare in

Un exploit 0day RCE sul router D-Link EXO AX4800 è online

Redazione RHC 16/05/2024

Il router D-Link EXO AX4800 (DIR-X4860) è vulnerabile all’esecuzione di comandi remoti non autenticati che potrebbero portare all’acquisizione completa del dispositivo da parte di aggressori con accesso alla porta HNAP. Il router D-Link DIR-X4860 è un router Wi-Fi 6 ad alte prestazioni in grado di raggiungere velocità fino a 4800 Mbps e funzionalità avanzate come OFDMA, MU-MIMO e BSS Coloring che migliorano l’efficienza e riducono le interferenze. Oggi, il team di ricercatori SSD Secure Disclosure ha annunciato di aver scoperto difetti nei dispositivi DIR-X4860 che eseguono l’ultima versione del firmware, DIRX4860A1_FWV1.04B03, che consente l’esecuzione di comandi remoti (RCE) non autenticati. “Le vulnerabilità

Una RCE 0day su Microsoft Outlook è in vendita per 1.700.000 dollari

Redazione RHC 14/05/2024

Nella giornata di oggi, all’interno del forum underground Breach Forums, è stato messo in vendita da un Threat Actors uno 0day su Microsoft Outlook. Si tratta di una vulnerabilità di Remote Code Execution (RCE) che viene messa in vendita per 1.700.000 Dollari. Si tratta di un costo molto alto per una falla 0day molto insidiosa che sul mercato dei broker 0day è quotata per 250.000 dollari (come ad esempio sul bounty di Zerodium). Il Threat Actors ha all’interno del forum una discreta reputazione ed in passato ha già venduto altri 0day di valore, pertanto potrebbe non trattarsi di una truffa ma di

Google aumenta di 10 volte le ricompense per gli exploit su APP Android

Redazione RHC 07/05/2024

Google sta decuplicando le ricompense per le vulnerabilità legate all’esecuzione di codice in modalità remota in alcune app Android, da 30.000 a 300.000 dollari. La ricompensa massima è ora di 450.000 dollari. L’azienda ha apportato modifiche al suo programma bug bounty Mobile Vulnerability Rewards Program (Mobile VRP), lanciato lo scorso anno. I nuovi termini si applicano principalmente alle app che l’azienda classifica come Tier 1: servizi Google Play, app Ricerca Google per Android (AGSA), Google Cloud e Gmail. Ricordiamo che l’obiettivo principale di Mobile VRP è accelerare il processo di ricerca ed eliminazione dei punti deboli nelle applicazioni Android sviluppate o supportate da Google stessa.

Cos’è il Bug Bounty e cos’è un programma di responsible disclosure

Redazione RHC 11/03/2023

Negli ultimi anni, le preoccupazioni per la sicurezza informatica sono cresciute esponenzialmente. L’aumento degli attacchi informatici, l’avanzamento delle tecniche di hacking e l’importanza sempre maggiore dei dati personali hanno portato molte aziende a cercare modi innovativi per migliorare la sicurezza dei propri sistemi. Tra questi troviamo i programmi di bug bounty e di responsible disclosure, i quali si sono rivelati efficaci strumenti per individuare e risolvere vulnerabilità informatiche che hanno beneficiato delle competenze della community hacker. In questo articolo andremo a scoprire cos’è un programma di “bug bounty” e un programma di “responsible disclosure” e come questi possano aiutare le aziende a

Perché la divulgazione responsabile delle vulnerabilità è una cosa importante

Massimiliano Brolli 11/02/2022

Si parla spesso dell’approccio alla divulgazione responsabile delle vulnerabilità, ma come abbiamo già visto, molto spesso, tutto questo non avviene con una prassi ben regolamentata, sebbene ci siano diversi spunti a livello internazionale e best practices, anche in ambito ENISA. Quindi è sicuro ed è corretto divulgare le vulnerabilità in modo responsabile, ed è importante farlo. Questo consente di dare modo a tutta l’industria del software di migliorarsi, di migliorare tutti i prodotti di detection delle vulnerabilità pubbliche oltre che a rendere tutti partecipi del fatto che è necessaria una patch per uno specifico prodotto che risolve un pericoloso 0-day. Ma ancora

Categorie