Verizon Media | Bug Bounty Program

Verizon Media | Bug Bounty Program

El programa Bug Bounty de la plataforma Verizon Media se ha integrado con HackerOne. Como resultado, todas las presentaciones de Twitter Security Bug Bounty deben realizarse para su revisión a través del portal HackerOne.

Con marcas como Yahoo, HuffPost y TechCrunch, Verizon Media ayuda a las personas a mantenerse informadas y entretenidas, comunicarse y realizar transacciones, al mismo tiempo que crea nuevas medios para que los anunciantes y socios se conecten.

Nuestro equipo de seguridad de la información se conoce como los Paranoids, y estamos comprometidos a proteger nuestras marcas y nuestros usuarios. Como parte de este compromiso, invitamos a los investigadores de seguridad a ayudar a proteger Verizon Media y sus usuarios mediante la identificación proactiva de vulnerabilidades de seguridad a través de nuestro programa de recompensa de errores.

Divulgación de vulnerabilidades

Nuestro objetivo es responder a los informes lo más rápido posible y conseguir que los errores se corrijan dentro de los 90 días posteriores a su triage.

Siempre que sea posible, registre su cuenta con la dirección de email <username>+x@wearehackerone.com

Proporcione su dirección IP en el informe de errores. Mantendremos estos datos en privado y solo los usaremos para revisar los registros relacionados con su actividad de pruebas.

Incluya un encabezado HTTP personalizado en todo el tráfico. Burp Suite y otros proxies permiten añadir encabezados a todas las solicitudes salientes.

Por ejemplo:

• Un encabezado que incluya su nombre de usuario: X-Bug-Bounty:HackerOne-<username>
• Un encabezado con una marca única o hash identificable X-Bug-Bounty:ID-<sha256-flag>

Elaboración de un informe

Si nuestro equipo de seguridad no puede reproducir y verificar un bug, no se puede otorgar una recompensa. Para ayudar a agilizar nuestro proceso de admisión, pedimos que los informes incluyan:

• Descripción de la vulnerabilidad
• Pasos para reproducir la vulnerabilidad reportada
• Prueba de explotación (por ejemplo, captura de pantalla, vídeo)
• Impacto percibido para otro usuario o la organización
• Propuesta de CVSSv3 - Vector & Puntuación
• Lista de direcciones URL y parámetros afectados
• Otras URL vulnerables, cargas útiles adicionales, código de prueba de concepto
• Navegador, sistema operativo y/o versión de la aplicación utilizada durante las pruebas

Nota: el incumplimiento de estos requisitos mínimos puede dar lugar a la pérdida de una recompensa.

Recompensas por vulnerabilidades de seguridad

Las recompensas pueden variar desde HackerOne Reputation Points a recompensas económicas de un máximo de $15,000 USD.

La siguiente tabla muestra las recompensas habituales elegidas para los errores más comunes:

Gravedad	Recompensa
Crítica	$10,000 - $15,000
Alta	$3,000 - $10,000
Media	$500 - $3,000
Baja	$0 - $500

Valoración de las vulnerabilidades

Todos los informes se otorgarán en función de la clasificación de Common Weakness Enumeration (CWE).

Esta tabla proporciona los CWEs que aceptaremos, los niveles de gravedad que clasificaremos en base a la CWE, y algunos ejemplos de nombres comunes de vulnerabilidad y ataque que clasificamos dentro la CWE.

Esta tabla es sólo una guía y la clasificación de gravedad de cada vulnerabilidad será determinada por Verizon Media a su entera discreción.

Nota: Las vulnerabilidades no enumeradas también pueden ser elegibles.
Algunas vulnerabilidades pueden estar comprendidas en diferentes tipos de clasificaciones de gravedad determinadas por el alcance/escala de explotación e impacto.

Gravedad (baja)	Gravedad (alta)	CWE-ID	Common Weakness Enumeration	Ejemplos de Bugs
Crítico	Crítico	CWE-78	OS Command Injection	Remote Code Execution; Code Injection; LDAP Injection
Crítico	Crítico	CWE-120	Classic Buffer OverfBajo	Buffer OverfBajo
Alto	Crítico	CWE-89	SQL Injection	SQL Injection
Alto	Crítico	CWE-918	Server-Side Request Forgery	SSRF
Medio	Crítico	CWE-732	Incorrect Permission Assignment for Crítico Resource	IDOR; Horizontal Privilege Escalation; Vertical Privilege Escalation
Crítico	Crítico	CWE-91	XML Injection	XML Injection
Alto	Crítico	CWE-134	Uncontrolled Format String	Insecure Deserialization
Alto	Crítico	CWE-250	Execution with Unnecessary Privileges	Privilege Escalation to System Account
Bajo	Crítico	CWE-829	Inclusion of Functionality from Untrusted Control Sphere	Server Side Includes Injection; Local File Inclusion; XML External Entity; Directory Traversal
Medio	Alto	CWE-306	Missing Authentication for Crítico Function	Exposed Administrative Interface
Medio	Crítico	CWE-862	Missing Authorization	Horizontal Privilege Escalation; Vertical Privilege Escalation; IDOR
Bajo	Crítico	CWE-200	Information Exposure	User Enumeration with PII; Credentials on GitHub
Informativo	Alto	CWE-863	Incorrect Authorization	Authorization Bypass; Account Takeover; Social Media Takeover (Brand); Social Media Takeover (Personal)
Medio	Alto	CWE-798	Use of Hard-coded Credentials	Hard Coded Credentials
Medio	Alto	CWE-434	Unrestricted Upload of File with Dangerous Type	Unfiltered File Upload
Bajo	Alto	CWE-203	Information Exposure Through Discrepancy	PHP Admin Information page; MySQL Information page (w/ credentials); Apache Status page
Medio	Medio	CWE-494	Download of Code Without Integrity Check	S3 Bucket Upload
Bajo	Medio	CWE-311	Missing Encryption of Sensitive Data	Cleartext Submission of Passwords
Bajo	Medio	CWE-807	Reliance on Untrusted Inputs in a Security Decision
Bajo	Medio	CWE-79	Cross-Site Scripting	Stored XSS; POST-Based XSS; GET-Based XSS; DOM-Based XSS; Flash-based XSS; CSS Injection
Medio	Medio	CWE-352	Cross-Site Request Forgery	State-Changing CSRF; Non-State-Changing CSRF
Bajo	Medio	CWE-16	Misconfiguration	Subdomain Takeover; Dangling DNS Record
Medio	Medio	CWE-93	CRLF Injection	CRLF Injection
Bajo	Bajo	CWE-601	Open Redirect	Open Redirect
Informativo	Bajo	CWE-327	Use of a Broken or Risky Cryptographic Algorithm	Weak CAPTCHA
Informativo	Bajo	CWE-307	Improper Restriction of Excessive Authentication Attempts	Lack of Rate Limiting on Login; CAPTCHA Bypass

Están fuera del alcance del programa:

Any non-Verizon Media Applications	"Self" XSS
Missing Security Best Practices	HTTP Host Header XSS
Confidential Information Leakage	Clickjacking/UI Redressing
Use of known-vulnerable library (without proof of exploitability)	Intentional Open Redirects
Missing cookie flags	Reflected file download
SSL/TLS Best Practices	Incomplete/Missing SPF/DKIM
Physical attacks	Social Engineering attacks
Results of automated scanners	Login/Logout/Unauthenticated CSRF
Autocomplete attribute on web forms	Using unreported vulnerabilities
"Self" exploitation	Issues related to networking protocols
XSS in flash files not developed by Verizon Media (e.g. Camtasia, JW Player, Flowplayer swf files)	Software Version Disclosure
Verbose error pages (without proof of exploitability)	Denial of Service attacks
Verizon Media software that is End of Life or no longer supported	Account/email Enumeration
Missing Security HTTP Headers (without proof of exploitability)	Internal pivoting, scanning, exploiting, or exfiltrating data

Dentro del alcance del programa:

Dominio	api-secure.sports.yahoo.com	Crítico	Elegible
Dominio	data.mail.yahoo.com	Crítico	Elegible
Dominio	le.yahooapis.com	Crítico	Elegible
Dominio	onepush.query.yahoo.com	Crítico	Elegible
Dominio	proddata.xobni.yahoo.com	Crítico	Elegible
Dominio	apis.mail.yahoo.com	Crítico	Elegible
Código Fuente	Moloch Revisar el Código Source Code Submit a PR to fix/update the code - fork the codebase then submit a PR Visit our web page at https://molo.ch for pre-bulit rpm/deb and instructions for running yourself. Fuera del Alcance Known unauthenticated endpoints such as parliament.json & eshealth.json www.molo.ch demo.molo.ch *.molo.ch (production website) UI based bugs on parliament	Crítico	Elegible
Código Fuente	Athenz Revisar el Código Source Code Submit a PR to fix/update the code - fork the codebase then submit a PR Fuera del Alcance yahoo/athenz/ui, and are outdated from our own internal deployment because of our use of Okta and Duo which we are not able to deploy to you all for this event; this is why we stated the Athenz UI was Fuera del Alcance during the scoping call. The UI was just given out as a starting point so whoever needs it, can take it, integrate with their own authentication system and also provide all the necessary protections. Our UI devs worked with the Paranoids’ red team internally for quite some time to go through all this, addressing many different types of bug classes with our integration with Okta and Duo and that’s what we’re running in our production instance.yahoo/athenz/contributionsyahoo/athenz/docker	Crítico	Elegible
Otro	Yahoo! Use this asset tag when a more specific brand/Dominio/property does not exist.	Crítico	Elegible
Otro	7News 7News iOS 7News Android	Crítico	Elegible
Otro	Yahoo Sports Yahoo Sports Android Yahoo Sports iOS Yahoo Sports tvOS Yahoo Sports (web)	Crítico	Elegible
Otro	Yahoo Fantasy Sports Yahoo Fantasy Sports Android Yahoo Fantasy Sports iOS Yahoo Fantasy Sports (web)	Crítico	Elegible
Otro	Yahoo Finance iOS https://checkout.finance.yahoo.com/checkout/v1 API WebSockets Streaming Market Data: http://streamer.finance.yahoo.com finance.mobile.yahoo.com finance.query.yahoo.com	Crítico	Elegible
Otro	Yahoo HK Auctions Yahoo HK Auctions Android Yahoo HK Auctions iOS Yahoo HK Auctions (web)	Crítico	Elegible
Otro	Yahoo HK News Yahoo HK News Android Yahoo HK News iOS	Crítico	Elegible
Otro	Yahoo HK Shopping Yahoo HK Shopping Android Yahoo HK Shopping iOS Yahoo HK Shopping (web)	Crítico	Elegible
Otro	Yahoo Live Web Insights Yahoo Live Web Insights iOS	Crítico	Elegible
Otro	Yahoo Mail Yahoo Mail Android Yahoo Mail AndroidGo Yahoo Mail FireOS Yahoo Mail iOS Yahoo Mail (web) Fuera del Alcance: mail.yahoo.com/cal/ (this is the same as and should be reported as Yahoo Calendar)calendar.yahoo.com	Crítico	Elegible
Otro	Yahoo Search Yahoo Search Android Yahoo Search iOS Yahoo Search (web)	Crítico	Elegible
Otro	Yahoo TW Auction Yahoo TW Auction Android Yahoo TW Auction iOS Yahoo TW Auction (web)	Crítico	Elegible
Otro	Yahoo TW eSports Yahoo TW eSports Android Yahoo TW eSports iOS Yahoo TW eSports (web)	Crítico	Elegible
Otro	Yahoo TW News Yahoo TW News Android Yahoo TW News iOS Yahoo TW News (web)	Crítico	Elegible
Otro	Yahoo TW Shopping Yahoo TW Shopping Android Yahoo TW Shopping iOS Yahoo TW Shopping (web)	Crítico	Elegible
Otro	Yahoo TW Stock Yahoo TW Stock Android Yahoo TW Stock iOS tw.stock.yahoo.com *.stock.yahoo.com	Crítico	Elegible
Otro	Yahoo TW Store Yahoo TW Store Yahoo TW Store Yahoo TW Store (web)	Crítico	Elegible
Otro	Yahoo Video Yahoo Video FireTV Yahoo Video tvOS	Crítico	Elegible
Otro	Yahoo Weather Yahoo Weather Android Yahoo Weather iOS Yahoo Weather (web)	Crítico	Elegible
Otro	Flurry Flurry Android Flurry iOS Flurry (web)	Crítico	Elegible
Otro	Newsroom Newsroom Android Newsroom iOS Newsroom (web)	Crítico	Elegible
Otro	Yahoo News *.news.yahoo.com yahoo.com/news	Crítico	Elegible
Otro	Gemini *.gemini.yahoo.com *.admanager.yahoo.com *.admanagerplus.yahoo.com monetization.flurry.com	Crítico	Elegible
Otro	Yahoo Groups *.groups.yahoo.com (main site) *.rtn.groups.yahoodns.net (returned bounced email) *.xa.yimg.com (images) *.yahoogroups.com (smtp - mail relay)	Crítico	Elegible
Otro	Makers *.makers.com	Crítico	Elegible
Otro	BUILD *.buildseries.com	Crítico	Elegible
Otro	Built By Girls You MUST register for an account with your @wearehackerone email address or else your report will NOT be eligible for bounty. *.builtbygirls.com	Crítico	Elegible
Otro	The Huffington Post Dentro del Alcance *.huffingtonpost.com *.huffpost.com *.huffpost.net *.huffingtonpost.co.uk *.huffingtonpost.ca *.huffingtonpost.es *.huffingtonpost.fr *.huffingtonpost.gr *.huffingtonpost.in *.huffingtonpost.it *.huffingtonpost.jp *.huffingtonpost.kr *.huffingtonpost.com.au *.huffingtonpost.co.za *.huffpostbrasil.com *.huffpostmaghreb.com *.huffpost.co.uk *.huffpost.ca *.huffpost.es *.huffpost.fr *.huffpost.gr *.huffpost.in *.huffpost.it *.huffpost.jp *.huffpost.kr *.huffpost.com.au *.huffpost.co.za *.huffingtonpost.de (decommissioned edition) *.huffingtonpost.com.mx (decommissioned edition) *.huffpost.de (decommissioned edition) *.huffpost.com.mx (decommissioned edition) *.huffpostarabi.com (decommissioned edition) *.huffpo.net (anything here will likely will exist on some Otro Dominio with very few exceptions) HuffPost iOS App HuffPost Android App Notas Mobile Apps and APIs included HuffPost Plus (no reimbursement will be provided) Any accounts you need will be self-service signup. Please consolidate your reports. Separate reports for the same or similar payload/issue against multiple international editions, will be marked as duplicates and paid only once for Huffington Post international editions. Fuera del Alcance DO NOT use/select/test “Emergency” on the support forms. This will earn you a strike. news.huffingtonpost.com (3rd party, CampaignMonitor) coupons.huffpost.com (3rd party, Groupon) huffpost.atlassian.net (3rd party, Atlassian) huffpoststuff.com (3rd party, StackCommerce) subscribe.huffpost.com (3rd party, Epsilon)	Crítico	Elegible
Otro	Membership Dentro del Alcance https://login.yahoo.com https://login.aol.com https://api.login.yahoo.com https://api.login.aol.com Some documentation that may help: https://developer.yahoo.com/oauth2/guide/ Specific paths to target…. For login.*.com /account/logout /auth/2.0/credentials /auth/1.0/ /saml2/ /account /oauth2 /ylc /account/challenges /account/access /oauth2/device_auth /ctv /activate /forgot For api.login.*.com /api /oauth2/get_token /oauth2/web_session /oauth2/device_sessions /oauth2/device_authorization /oauth2/device_auth /oauth2/revoke /oauth2/introspect Fuera del Alcance Any rate limits for authentication attempts. Any differentiated treatment based on account, browser, IP address etc. Límite Limit traffic against our services to < 10/second when probing or testing.	Crítico	Elegible
Otro	Omega *omega*.yahoo.com	Crítico	Elegible
Otro	Ensemble *ensemble*.yahoo.com	Crítico	Elegible
Otro	Yahoo Calendar Dentro del Alcance *.calendar.yahoo.com *.caldav.calendar.yahoo.com Specific paths to look at: https://calendar.yahoo.com/ws/v3/users/ https://caldav.calendar.yahoo.com/principals/users/ https://caldav.calendar.yahoo.com/dav/*/calendar/ Límites Limit traffic against our services to < 10/second when probing or testing.	Crítico	Elegible
Android: Play Store	com.yahoo.mobile.client.android.mail Yahoo Mail Android Yahoo Mail AndroidGo Yahoo Mail FireOS Sign up for the Beta here	Crítico	Elegible
iOS: App Store	com.yahoo.aerogram Yahoo Mail iOS	Crítico	Elegible
Código Fuente	Verizon Media Open Source Projects (misc) Select open source projects are now eligible for bounties! The rest of our open source projects are technically Dentro del Alcance, but at a reduced rate for the time being.	Crítico	No elegible
Otro	Verizon Media Use this asset when nothing else can be reasonably selected. Everyone is eligible to submit bugs to hackerone.com/verizonmedia but we are currently only inviting a few people at a time into hackerone.com/verizonmedia-private. Bugs with Oath that are not Dentro del Alcance of hackerone.com/verizonmedia can still be submitted to this asset and might be eligible for award.	Crítico	No elegible

Fuente: https://hackerone.com/verizonmedia