Lista dos principais programas e sites Bug Bounty (atualização de fevereiro de 2025)

Melhores Programas/Empresas de Bug Bounty

Abaixo está uma lista com curadoria de programas de recompensas de empresas respeitáveis

1) Informação

O programa de recompensas da Intel visa principalmente o hardware, firmware e software da empresa.

Limitações: Não inclui aquisições recentes, a infraestrutura web da empresa, produtos de terceiros ou qualquer coisa relacionada a McAfee.

Pagamento minimo: A Intel oferece um valor mínimo de US$ 500 para encontrar bugs em seu sistema.

Pagamento Máximo: A empresa paga no máximo US$ 30,000 pela detecção de bugs críticos.

Link da recompensa: https://security-center.intel.com/BugBountyProgram.aspx


2) Yahoo

O Yahoo tem uma equipe dedicada que aceita relatórios de vulnerabilidade de pesquisadores de segurança e hackers éticos.

Limitações: A Empresa não oferece nenhuma recompensa por encontrar bugs em blogs WordPress operados pelo Yahoo.net, Yahoo 7, Yahoo Japão, Onwander e Yahoo.

Pagamento minimo: Não há limite definido no Yahoo para pagamento mínimo.

Pagamento Máximo: O Yahoo pode pagar US$ 15000 para detectar bugs importantes em seu sistema.

Link da recompensa:https://safety.yahoo.com/Security/REPORTING-ISSUES.html


3) Snapchat

A equipe de segurança do Snapchat analisa todos os relatórios de vulnerabilidade e age de acordo com eles por meio de divulgação responsável. A empresa reconhecerá seu envio dentro de 30 dias.

Pagamento minimo: O Snapchat pagará no mínimo US$ 2000.

Pagamento Máximo: O máximo que pagarão é $ 15,000.

Link da recompensa:https://support.snapchat.com/en-US/i-need-help


4) Cisco

Cisco incentiva indivíduos ou organizações que estejam enfrentando problemas de segurança de produtos a denunciá-los à empresa.

Pagamento minimo: CiscoO valor mínimo de pagamento é $ 100.

Pagamento Máximo: A empresa doará no máximo US$ 2,500 para encontrar vulnerabilidades graves.

Link da recompensa: https://tools.cisco.com/security/center/resources/security_vulnerability_policy.html


5) Dropbox

Dropbox O programa de recompensas permite que pesquisadores de segurança relatem bugs e vulnerabilidades no serviço de terceiros HackerOne.

Pagamento minimo: O valor mínimo pago é $ 12,167.

Pagamento Máximo: O valor máximo oferecido é $ 32,768.

Link da recompensa: https://help.dropbox.com/accounts-billing/security/how-security-works


6) Maçã

Quando a Apple lançou pela primeira vez seu programa de recompensas por bugs, ela permitia apenas 24 pesquisadores de segurança. A estrutura então se expandiu para incluir mais caçadores de recompensas de bugs.

A empresa pagará US$ 100,000 mil para quem conseguir extrair dados protegidos pela tecnologia Secure Enclave da Apple.

Pagamento minimo: Não há valor limitado fixado pela Apple Inc.

Pagamento máximo: A maior recompensa dada pela Apple é de US$ 200,000 mil por problemas de segurança que afetam seu firmware.

Link da recompensa: https://support.apple.com/en-in/102549


7)Facebook

No programa de recompensas de bugs do Facebook, os usuários podem relatar um problema de segurança no Facebook, Instagram, Atlas, WhatsApp, etc.

Limitações: Existem alguns problemas de segurança que a plataforma de rede social considera fora dos limites.

Pagamento minimo: O Facebook pagará um mínimo de US$ 500 por uma vulnerabilidade divulgada.

Pagamento Máximo: Não há limite máximo fixado pelo Facebook para o pagamento.

Link da recompensa: https://www.facebook.com/whitehat/


8) Google

Todo conteúdo em .google.com, .blogger, youtube.com está aberto para o programa de recompensas de vulnerabilidade do Google.

Limitações: Este programa de recompensas cobre apenas questões de design e implementação.

Pagamento minimo: O Google pagará no mínimo US$ 300 para encontrar tópicos de segurança.

Pagamento Máximo: O Google pagará a maior recompensa de US$ 31.337 por aplicativos normais do Google.

Link da recompensa: https://www.google.com/about/appsecurity/reward-program/


9) Quora

Quora oferece o programa Bug Bounty a todos os usuários e pesquisadores para encontrar e relatar vulnerabilidades de segurança.

Pagamento minimo: O Quora pagará no mínimo US$ 100 para encontrar vulnerabilidades em seu site.

Pagamento Máximo: O pagamento máximo oferecido por este site é de $ 7000.

Link da recompensa: https://engineering.quora.com/Security-Bug-Bounty-Program


10) Mozilla

A Mozilla recompensa por descobertas de vulnerabilidades feitas por hackers éticos e pesquisadores de segurança.

Limitações: A recompensa é oferecida apenas para bugs nos serviços Mozilla, como Firefox, Thunderbird e outros aplicativos e serviços relacionados.

Pagamento minimo: Quantidade mínima dada por Firefox é de R $ 500.

Pagamento Máximo: A empresa está pagando no máximo $ 5000.

Link da recompensa: https://www.mozilla.org/en-US/security/bug-bounty/


11) Microsoft

MicrosoftO atual programa de recompensas por bugs do foi lançado oficialmente em 23 de setembro de 2014 e trata apenas de serviços online.

Limitações: A recompensa generosa é dada apenas para vulnerabilidades críticas e importantes.

Pagamento minimo: Microsoft pronto para pagar US$ 15,000 para encontrar bugs críticos.

Pagamento Máximo: O valor máximo pode ser de US$ 250,000.

Link da recompensa: https://technet.microsoft.com/en-us/library/dn425036.aspx


12) OpenSSL

OpenSSL bounty permite que você relate vulnerabilidades usando e-mail seguro (chave PGP). Você também pode relatar vulnerabilidades para o OpenSSL Comité de Gestão.

Pagamento minimo: A Empresa paga recompensas mínimas de US$ 500.

Pagamento Máximo: O valor mais alto dado pela empresa é de US$ 5000.

Link da recompensa: https://www.openssl.org/news/vulnerabilities.html


13) Vimeo

Vimeo acolhe com satisfação qualquer relatório de vulnerabilidade de segurança em seus produtos, pois a empresa paga boas recompensas a essa pessoa.

Pagamento minimo: A Empresa pagará no mínimo $ 500

Pagamento Máximo: O valor máximo pago por esta empresa é de $ 5000.

Link da recompensa: https://vimeo.com/about/security


14) Apache

O Apache incentiva hackers éticos a relatar vulnerabilidades de segurança em uma de suas listas de discussão de segurança privada.

Pagamento minimo: O valor mínimo de pagamento fornecido pelo Apache é de $ 500.

Pagamento Máximo: Esta empresa pode dar uma recompensa máxima de $ 3000.

Link da recompensa: https://www.apache.org/security/


15)Twitter

O Twitter informa pesquisadores e especialistas em segurança sobre possíveis vulnerabilidades de segurança em seus serviços. A empresa incentiva as pessoas a encontrar bugs.

Pagamento minimo: O Twitter está pagando um valor mínimo de US$ 140.

Pagamento Máximo: O valor máximo pago pela empresa é de $ 15000.

Link da recompensa: https://support.twitter.com/articles/477159


16) Avast

Avast O programa de recompensas recompensa hackers éticos e pesquisadores de segurança por relatarem execução remota de código, escalonamento de privilégios locais, DOS, desvio de scanner, entre outros problemas.

Pagamento minimo: Avast pode pagar a você o valor mínimo de $ 400.

Pagamento Máximo: O valor máximo oferecido pela empresa é de US$ 10,000.

Link da recompensa: https://www.avast.com/bug-bounty


17) PayPal

O serviço de gateway de pagamento Paypal também oferece programas de recompensa por bugs para pesquisadores de segurança.

Limitações:

Vulnerabilidades dependentes técnicas de engenharia social, Cabeçalho do host

Negação de serviço (DOS), carga útil definida pelo usuário, falsificação de conteúdo sem links incorporados/HTM e vulnerabilidades que requerem um dispositivo móvel desbloqueado, etc.

Pagamento minimo: O Paypal pode pagar no mínimo US$ 50 para encontrar vulnerabilidades de segurança em seu sistema.

Pagamento Máximo: O valor máximo de pagamento fornecido pelo Paypal é de $ 10000.

Link da recompensa: https://hackerone.com/paypal


18) GitHub

O GitHub executa um programa de recompensas por bugs desde 2013. Cada participante bem-sucedido ganhou pontos por seus envios de vulnerabilidade, dependendo da gravidade.

Limitação:

O pesquisador de segurança receberá essa recompensa somente se respeitar os dados dos usuários e não explorar qualquer problema para produzir um ataque que possa prejudicar a integridade dos serviços ou informações do GitHub.

Pagamento minimo: Github paga um valor mínimo de $ 200 para encontrar bugs.

Pagamento Máximo: Github pode pagar $ 10000 para encontrar bugs críticos.

Link da recompensa: https://bounty.github.com/


19)Uber

O programa de recompensas por vulnerabilidade do Uber focou principalmente na proteção dos dados dos usuários e de seus funcionários.

Pagamento minimo: Não existe um valor mínimo pré-determinado.

Pagamento Máximo: O Uber pagará US$ 10,000 para você encontrar problemas críticos de bugs.

Link da recompensa: https://eng.uber.com/bug-bounty-map/


20) Magento

O programa de recompensas Magneto permite que você relate vulnerabilidades de segurança em softwares ou sites Magneto.

Limitações:

Seguir a pesquisa de segurança não é elegível para a recompensa

  • Negação de serviço potencial ou real de aplicativos e sistemas Magento.
  • Uso de um exploit para visualizar dados sem autorização.
  • Teste automatizado/com script de formulários da web

Pagamento minimo: O valor mínimo de pagamento para este programa de recompensas é de $ 100.

Pagamento Máximo: Magento está pagando no máximo US$ 10,000 para encontrar bugs críticos.

Link da recompensa: https://magento.com/security


21) Perl

Perl também está executando programas de recompensa por bugs. Se alguém encontrar uma vulnerabilidade de segurança no Perl, poderá entrar em contato com a empresa.

Pagamento minimo: A Empresa paga um valor mínimo de $ 500.

Pagamento Máximo: O valor mais alto dado pelo Perl é $ 1500.

Link da recompensa: http://perldoc.perl.org/perlsec.html#SECURITY-VULNERABILITY-CONTACT-INFORMATION


22) PHP

PHP permite que hackers éticos encontrem um bug em seus sites.

Limitações: Você precisa verificar a lista de bugs já encontrados. Se você não seguir esta instrução seu bug não será considerado.

Pagamento minimo: O valor mínimo de pagamento é $ 500.

Pagamento Máximo: O máximo de $ 1500 é fornecido pelo PHP para pesquisar bugs importantes.

Link da recompensa: https://bugs.php.net/report.php?bug_type=Security


23) Starbucks

A Starbucks executa o programa Bug Bounty para proteger seus clientes. Eles incentivam a encontrar atividades maliciosas em suas políticas de redes, web e aplicativos móveis.

Pagamento minimo: O valor mínimo pago pela Starbucks é de $ 100.

Pagamento Máximo: O valor máximo vai até US$ 4000.

Link da recompensa: https://www.starbucks.com/whitehat


24) AT&T

A AT&T também tem seu canal de caça a bugs. Desenvolvedores e especialistas em segurança podem pesquisar diversas plataformas, como sites, APIs e aplicativos móveis.

Pagamento minimo: O valor mínimo pago por eles é de $ 500.

Pagamento Máximo: Não existe esse limite máximo para pagamento.

Link da recompensa: https://hackerone.com/att?type=team


25) Linkedin

O LinkedIn dá as boas-vindas a pesquisadores individuais que contribuem com sua experiência e tempo para encontrar bugs.

A empresa irá recompensá-lo, mas nem o valor mínimo nem o máximo são uma solução para esse fim.

Link da recompensa: https://security.linkedin.com/posts/2015/private-bug-bounty-program


26) Pagamento

Paytm convida grupos de segurança independentes ou pesquisadores individuais para estudá-lo em todas as plataformas

Limitações:

  • Relatórios que afirmam que o software está desatualizado/vulnerável sem uma 'Prova de Conceito'.
  • Problemas de XSS que afetam apenas navegadores desatualizados.
  • Rastreamentos de pilha que divulgam informações.
  • Quaisquer problemas de fraude

Pagamento minimo: A Empresa pagará no mínimo US$ 15 para encontrar bugs.

Pagamento Máximo: Esta empresa não fixa o limite superior.

Link da recompensa: https://paytm.com/offer/bug-bounty/


27) Shopify

Shopify's O programa Whitehat recompensa pesquisadores de segurança por encontrarem problemas graves vulnerabilidades de segurança

Pagamento minimo: O valor mínimo pago pelo Shopify é de US$ 500.

Pagamento Máximo: Não há limite máximo fixo para pagar a recompensa.

Link da recompensa: https://www.shopify.in/whitehat


28) WordPress

O WordPress também dá as boas-vindas aos pesquisadores de segurança para relatar os bugs que encontraram.

Pagamento minimo: WordPress paga no mínimo US$ 150 para relatar bugs em seu site.

Pagamento Máximo: A Empresa não fixa um limite máximo para pagar como recompensa.

Link da recompensa: https://make.wordpress.org/core/handbook/testing/reporting-bugs/


29) Zomato

A Zomato ajuda o pesquisador de segurança a identificar problemas relacionados à segurança no site ou aplicativos da empresa.

Pagamento minimo: A Zomato pagará no mínimo US$ 1000 para encontrar bugs importantes.

Pagamento Máximo: Não há valor máximo de correção.

Link da recompensa: https://www.zomato.com/policies/security/


30) Projeto Tor

O programa de recompensas de bugs do Tor Project cobre dois de seus serviços principais: seu daemon de rede e navegador.

Limitação: OpenSSL as aplicações estão excluídas deste âmbito.

Pagamento minimo: O valor mínimo pago por eles é de $ 100.

Pagamento Máximo: A empresa pagará a você no máximo $ 4000.

(Nenhum link disponível) Link de recompensa: segurança@lists.torproject.org


31) Hackerone

HackerOne é uma das maiores plataformas de coordenação de vulnerabilidades e recompensas de bugs. Ajuda as empresas a proteger os dados dos seus consumidores, trabalhando com a comunidade de investigação global para encontrar as questões de segurança mais relevantes. Muitas empresas conhecidas como Yahoo, Shopify, PHP, Google, Snapchat e Wink estão utilizando este site para recompensar pesquisadores de segurança e hackers éticos.

Link da recompensa: https://hackerone.com/bug-bounty-programs


32) Multidão de insetos

Uma plataforma poderosa que conecta a comunidade global de pesquisadores de segurança ao mercado de segurança. Este site tem como objetivo fornecer a combinação certa e o tipo de pesquisador adequado de acordo com o site específico para seus clientes em todo o mundo. Os hackers só precisam selecionar seus relatórios neste site e, se conseguirem detectar os bugs corretos, a empresa específica pagará o valor a essa pessoa.

Link da recompensa: https://www.bugcrowd.com/bug-bounty-list/

Perguntas frequentes

Um Bug Bounty é um prêmio em dinheiro oferecido à pessoa que encontra um erro ou vulnerabilidade em um programa ou sistema de computador. O Bug Bounty Program é oferecido por muitos sites, organizações e desenvolvedores de software nos quais os indivíduos podem receber reconhecimento e compensação por relatar bugs.

Confira a lista das principais empresas a seguir que possuem programas de recompensa por bugs.

  1. Intel
  2. Yahoo
  3. Snapchat
  4. Cisco
  5. Dropbox
  6. Apple
  7. Facebook
  8. Google