Lista dos principais programas e sites Bug Bounty (atualização de fevereiro de 2025)
Melhores Programas/Empresas de Bug Bounty
Abaixo está uma lista com curadoria de programas de recompensas de empresas respeitáveis
1) Informação
O programa de recompensas da Intel visa principalmente o hardware, firmware e software da empresa.
Limitações: Não inclui aquisições recentes, a infraestrutura web da empresa, produtos de terceiros ou qualquer coisa relacionada a McAfee.
Pagamento minimo: A Intel oferece um valor mínimo de US$ 500 para encontrar bugs em seu sistema.
Pagamento Máximo: A empresa paga no máximo US$ 30,000 pela detecção de bugs críticos.
Link da recompensa: https://security-center.intel.com/BugBountyProgram.aspx
2) Yahoo
O Yahoo tem uma equipe dedicada que aceita relatórios de vulnerabilidade de pesquisadores de segurança e hackers éticos.
Limitações: A Empresa não oferece nenhuma recompensa por encontrar bugs em blogs WordPress operados pelo Yahoo.net, Yahoo 7, Yahoo Japão, Onwander e Yahoo.
Pagamento minimo: Não há limite definido no Yahoo para pagamento mínimo.
Pagamento Máximo: O Yahoo pode pagar US$ 15000 para detectar bugs importantes em seu sistema.
Link da recompensa:https://safety.yahoo.com/Security/REPORTING-ISSUES.html
3) Snapchat
A equipe de segurança do Snapchat analisa todos os relatórios de vulnerabilidade e age de acordo com eles por meio de divulgação responsável. A empresa reconhecerá seu envio dentro de 30 dias.
Pagamento minimo: O Snapchat pagará no mínimo US$ 2000.
Pagamento Máximo: O máximo que pagarão é $ 15,000.
Link da recompensa:https://support.snapchat.com/en-US/i-need-help
4) Cisco
Cisco incentiva indivíduos ou organizações que estejam enfrentando problemas de segurança de produtos a denunciá-los à empresa.
Pagamento minimo: CiscoO valor mínimo de pagamento é $ 100.
Pagamento Máximo: A empresa doará no máximo US$ 2,500 para encontrar vulnerabilidades graves.
Link da recompensa: https://tools.cisco.com/security/center/resources/security_vulnerability_policy.html
5) Dropbox
Dropbox O programa de recompensas permite que pesquisadores de segurança relatem bugs e vulnerabilidades no serviço de terceiros HackerOne.
Pagamento minimo: O valor mínimo pago é $ 12,167.
Pagamento Máximo: O valor máximo oferecido é $ 32,768.
Link da recompensa: https://help.dropbox.com/accounts-billing/security/how-security-works
6) Maçã
Quando a Apple lançou pela primeira vez seu programa de recompensas por bugs, ela permitia apenas 24 pesquisadores de segurança. A estrutura então se expandiu para incluir mais caçadores de recompensas de bugs.
A empresa pagará US$ 100,000 mil para quem conseguir extrair dados protegidos pela tecnologia Secure Enclave da Apple.
Pagamento minimo: Não há valor limitado fixado pela Apple Inc.
Pagamento máximo: A maior recompensa dada pela Apple é de US$ 200,000 mil por problemas de segurança que afetam seu firmware.
Link da recompensa: https://support.apple.com/en-in/102549
7)Facebook
No programa de recompensas de bugs do Facebook, os usuários podem relatar um problema de segurança no Facebook, Instagram, Atlas, WhatsApp, etc.
Limitações: Existem alguns problemas de segurança que a plataforma de rede social considera fora dos limites.
Pagamento minimo: O Facebook pagará um mínimo de US$ 500 por uma vulnerabilidade divulgada.
Pagamento Máximo: Não há limite máximo fixado pelo Facebook para o pagamento.
Link da recompensa: https://www.facebook.com/whitehat/
8) Google
Todo conteúdo em .google.com, .blogger, youtube.com está aberto para o programa de recompensas de vulnerabilidade do Google.
Limitações: Este programa de recompensas cobre apenas questões de design e implementação.
Pagamento minimo: O Google pagará no mínimo US$ 300 para encontrar tópicos de segurança.
Pagamento Máximo: O Google pagará a maior recompensa de US$ 31.337 por aplicativos normais do Google.
Link da recompensa: https://www.google.com/about/appsecurity/reward-program/
9) Quora
Quora oferece o programa Bug Bounty a todos os usuários e pesquisadores para encontrar e relatar vulnerabilidades de segurança.
Pagamento minimo: O Quora pagará no mínimo US$ 100 para encontrar vulnerabilidades em seu site.
Pagamento Máximo: O pagamento máximo oferecido por este site é de $ 7000.
Link da recompensa: https://engineering.quora.com/Security-Bug-Bounty-Program
10) Mozilla
A Mozilla recompensa por descobertas de vulnerabilidades feitas por hackers éticos e pesquisadores de segurança.
Limitações: A recompensa é oferecida apenas para bugs nos serviços Mozilla, como Firefox, Thunderbird e outros aplicativos e serviços relacionados.
Pagamento minimo: Quantidade mínima dada por Firefox é de R $ 500.
Pagamento Máximo: A empresa está pagando no máximo $ 5000.
Link da recompensa: https://www.mozilla.org/en-US/security/bug-bounty/
11) Microsoft
MicrosoftO atual programa de recompensas por bugs do foi lançado oficialmente em 23 de setembro de 2014 e trata apenas de serviços online.
Limitações: A recompensa generosa é dada apenas para vulnerabilidades críticas e importantes.
Pagamento minimo: Microsoft pronto para pagar US$ 15,000 para encontrar bugs críticos.
Pagamento Máximo: O valor máximo pode ser de US$ 250,000.
Link da recompensa: https://technet.microsoft.com/en-us/library/dn425036.aspx
12) OpenSSL
OpenSSL bounty permite que você relate vulnerabilidades usando e-mail seguro (chave PGP). Você também pode relatar vulnerabilidades para o OpenSSL Comité de Gestão.
Pagamento minimo: A Empresa paga recompensas mínimas de US$ 500.
Pagamento Máximo: O valor mais alto dado pela empresa é de US$ 5000.
Link da recompensa: https://www.openssl.org/news/vulnerabilities.html
13) Vimeo
Vimeo acolhe com satisfação qualquer relatório de vulnerabilidade de segurança em seus produtos, pois a empresa paga boas recompensas a essa pessoa.
Pagamento minimo: A Empresa pagará no mínimo $ 500
Pagamento Máximo: O valor máximo pago por esta empresa é de $ 5000.
Link da recompensa: https://vimeo.com/about/security
14) Apache
O Apache incentiva hackers éticos a relatar vulnerabilidades de segurança em uma de suas listas de discussão de segurança privada.
Pagamento minimo: O valor mínimo de pagamento fornecido pelo Apache é de $ 500.
Pagamento Máximo: Esta empresa pode dar uma recompensa máxima de $ 3000.
Link da recompensa: https://www.apache.org/security/
15)Twitter
O Twitter informa pesquisadores e especialistas em segurança sobre possíveis vulnerabilidades de segurança em seus serviços. A empresa incentiva as pessoas a encontrar bugs.
Pagamento minimo: O Twitter está pagando um valor mínimo de US$ 140.
Pagamento Máximo: O valor máximo pago pela empresa é de $ 15000.
Link da recompensa: https://support.twitter.com/articles/477159
16) Avast
Avast O programa de recompensas recompensa hackers éticos e pesquisadores de segurança por relatarem execução remota de código, escalonamento de privilégios locais, DOS, desvio de scanner, entre outros problemas.
Pagamento minimo: Avast pode pagar a você o valor mínimo de $ 400.
Pagamento Máximo: O valor máximo oferecido pela empresa é de US$ 10,000.
Link da recompensa: https://www.avast.com/bug-bounty
17) PayPal
O serviço de gateway de pagamento Paypal também oferece programas de recompensa por bugs para pesquisadores de segurança.
Limitações:
Vulnerabilidades dependentes técnicas de engenharia social, Cabeçalho do host
Negação de serviço (DOS), carga útil definida pelo usuário, falsificação de conteúdo sem links incorporados/HTM e vulnerabilidades que requerem um dispositivo móvel desbloqueado, etc.
Pagamento minimo: O Paypal pode pagar no mínimo US$ 50 para encontrar vulnerabilidades de segurança em seu sistema.
Pagamento Máximo: O valor máximo de pagamento fornecido pelo Paypal é de $ 10000.
Link da recompensa: https://hackerone.com/paypal
18) GitHub
O GitHub executa um programa de recompensas por bugs desde 2013. Cada participante bem-sucedido ganhou pontos por seus envios de vulnerabilidade, dependendo da gravidade.
Limitação:
O pesquisador de segurança receberá essa recompensa somente se respeitar os dados dos usuários e não explorar qualquer problema para produzir um ataque que possa prejudicar a integridade dos serviços ou informações do GitHub.
Pagamento minimo: Github paga um valor mínimo de $ 200 para encontrar bugs.
Pagamento Máximo: Github pode pagar $ 10000 para encontrar bugs críticos.
Link da recompensa: https://bounty.github.com/
19)Uber
O programa de recompensas por vulnerabilidade do Uber focou principalmente na proteção dos dados dos usuários e de seus funcionários.
Pagamento minimo: Não existe um valor mínimo pré-determinado.
Pagamento Máximo: O Uber pagará US$ 10,000 para você encontrar problemas críticos de bugs.
Link da recompensa: https://eng.uber.com/bug-bounty-map/
20) Magento
O programa de recompensas Magneto permite que você relate vulnerabilidades de segurança em softwares ou sites Magneto.
Limitações:
Seguir a pesquisa de segurança não é elegível para a recompensa
- Negação de serviço potencial ou real de aplicativos e sistemas Magento.
- Uso de um exploit para visualizar dados sem autorização.
- Teste automatizado/com script de formulários da web
Pagamento minimo: O valor mínimo de pagamento para este programa de recompensas é de $ 100.
Pagamento Máximo: Magento está pagando no máximo US$ 10,000 para encontrar bugs críticos.
Link da recompensa: https://magento.com/security
21) Perl
Perl também está executando programas de recompensa por bugs. Se alguém encontrar uma vulnerabilidade de segurança no Perl, poderá entrar em contato com a empresa.
Pagamento minimo: A Empresa paga um valor mínimo de $ 500.
Pagamento Máximo: O valor mais alto dado pelo Perl é $ 1500.
Link da recompensa: http://perldoc.perl.org/perlsec.html#SECURITY-VULNERABILITY-CONTACT-INFORMATION
22) PHP
PHP permite que hackers éticos encontrem um bug em seus sites.
Limitações: Você precisa verificar a lista de bugs já encontrados. Se você não seguir esta instrução seu bug não será considerado.
Pagamento minimo: O valor mínimo de pagamento é $ 500.
Pagamento Máximo: O máximo de $ 1500 é fornecido pelo PHP para pesquisar bugs importantes.
Link da recompensa: https://bugs.php.net/report.php?bug_type=Security
23) Starbucks
A Starbucks executa o programa Bug Bounty para proteger seus clientes. Eles incentivam a encontrar atividades maliciosas em suas políticas de redes, web e aplicativos móveis.
Pagamento minimo: O valor mínimo pago pela Starbucks é de $ 100.
Pagamento Máximo: O valor máximo vai até US$ 4000.
Link da recompensa: https://www.starbucks.com/whitehat
24) AT&T
A AT&T também tem seu canal de caça a bugs. Desenvolvedores e especialistas em segurança podem pesquisar diversas plataformas, como sites, APIs e aplicativos móveis.
Pagamento minimo: O valor mínimo pago por eles é de $ 500.
Pagamento Máximo: Não existe esse limite máximo para pagamento.
Link da recompensa: https://hackerone.com/att?type=team
25) Linkedin
O LinkedIn dá as boas-vindas a pesquisadores individuais que contribuem com sua experiência e tempo para encontrar bugs.
A empresa irá recompensá-lo, mas nem o valor mínimo nem o máximo são uma solução para esse fim.
Link da recompensa: https://security.linkedin.com/posts/2015/private-bug-bounty-program
26) Pagamento
Paytm convida grupos de segurança independentes ou pesquisadores individuais para estudá-lo em todas as plataformas
Limitações:
- Relatórios que afirmam que o software está desatualizado/vulnerável sem uma 'Prova de Conceito'.
- Problemas de XSS que afetam apenas navegadores desatualizados.
- Rastreamentos de pilha que divulgam informações.
- Quaisquer problemas de fraude
Pagamento minimo: A Empresa pagará no mínimo US$ 15 para encontrar bugs.
Pagamento Máximo: Esta empresa não fixa o limite superior.
Link da recompensa: https://paytm.com/offer/bug-bounty/
27) Shopify
Shopify's O programa Whitehat recompensa pesquisadores de segurança por encontrarem problemas graves vulnerabilidades de segurança
Pagamento minimo: O valor mínimo pago pelo Shopify é de US$ 500.
Pagamento Máximo: Não há limite máximo fixo para pagar a recompensa.
Link da recompensa: https://www.shopify.in/whitehat
28) WordPress
O WordPress também dá as boas-vindas aos pesquisadores de segurança para relatar os bugs que encontraram.
Pagamento minimo: WordPress paga no mínimo US$ 150 para relatar bugs em seu site.
Pagamento Máximo: A Empresa não fixa um limite máximo para pagar como recompensa.
Link da recompensa: https://make.wordpress.org/core/handbook/testing/reporting-bugs/
29) Zomato
A Zomato ajuda o pesquisador de segurança a identificar problemas relacionados à segurança no site ou aplicativos da empresa.
Pagamento minimo: A Zomato pagará no mínimo US$ 1000 para encontrar bugs importantes.
Pagamento Máximo: Não há valor máximo de correção.
Link da recompensa: https://www.zomato.com/policies/security/
30) Projeto Tor
O programa de recompensas de bugs do Tor Project cobre dois de seus serviços principais: seu daemon de rede e navegador.
Limitação: OpenSSL as aplicações estão excluídas deste âmbito.
Pagamento minimo: O valor mínimo pago por eles é de $ 100.
Pagamento Máximo: A empresa pagará a você no máximo $ 4000.
(Nenhum link disponível) Link de recompensa: segurança@lists.torproject.org
31) Hackerone
HackerOne é uma das maiores plataformas de coordenação de vulnerabilidades e recompensas de bugs. Ajuda as empresas a proteger os dados dos seus consumidores, trabalhando com a comunidade de investigação global para encontrar as questões de segurança mais relevantes. Muitas empresas conhecidas como Yahoo, Shopify, PHP, Google, Snapchat e Wink estão utilizando este site para recompensar pesquisadores de segurança e hackers éticos.
Link da recompensa: https://hackerone.com/bug-bounty-programs
32) Multidão de insetos
Uma plataforma poderosa que conecta a comunidade global de pesquisadores de segurança ao mercado de segurança. Este site tem como objetivo fornecer a combinação certa e o tipo de pesquisador adequado de acordo com o site específico para seus clientes em todo o mundo. Os hackers só precisam selecionar seus relatórios neste site e, se conseguirem detectar os bugs corretos, a empresa específica pagará o valor a essa pessoa.
Link da recompensa: https://www.bugcrowd.com/bug-bounty-list/