Notícias de dispositivos móveis, gadgets, aplicativos Android

OpenAI lançou programa Bug Bounty – recompensas de até US$ 20.000

Já se passou quase meio ano desde que o revolucionário ChatGPT foi lançado. Surpreendentemente, atingiu 100 milhões de usuários em apenas dois meses.

ChatGPT tem um potencial inimaginável para responder coisas que precisam de muita pesquisa. Devido ao seu uso cada vez mais exigente, protegê-lo contra agentes de ameaças também é essencial.

A plataforma apoiada pela Microsoft lançou seu programa Bug Bounty no BugCrowd. Muitos pesquisadores de segurança já encontraram algumas vulnerabilidades no ChatGPT e as publicamos de vez em quando.

No entanto, agora é uma excelente oportunidade para os profissionais de segurança reportarem os seus bugs e serem recompensados ​​pelo seu trabalho.

Suas recompensas estão abaixo, de acordo com o programa Bug bounty e o VRT (Vulnerability Rating Taxonomy) do Bugcrowd.

  • P4 – $ 200 – $ 500
  • P3 – $500 – $1000
  • P2 – $ 1.000 – $ 2.000
  • P1 – $ 2.000 – $ 6.500

O programa também mencionou que a recompensa pode chegar a um máximo de US$ 20.000, tornando-se uma grande recompensa para bugs críticos. Até agora, 14 vulnerabilidades foram relatadas no programa.

Escopo do Programa

Os seguintes aplicativos estão no escopo.

  • ChatGPT, ChatGPT Plus, Logins, Assinaturas, Plugins criados por OpenAI criados por usuários e todas as outras funcionalidades.

Bugs que podem ser relatados incluem,

  • XSS ou XSS armazenado
  • CSRF
  • SQLi
  • Problemas de autenticação e autorização
  • Exposição de dados
  • Bugs baseados em pagamento
  • Cloudflare Bypass para enviar tráfego para endpoints desprotegidos
  • Executando consultas em modelos privados que não estão disponíveis para o público
  • Plugins de navegação ou intérprete de código criados pela OpenAI
  • SSRF
  • Falhas OAuth
  • Segurança de credenciais e chamadas de plugins para domínios não relacionados
Nós recomendamos:  Hackers usam técnicas de SEO para enviar malware Gootloader via Google

Como o OpenAI tem acesso a toda a Internet, problemas relacionados ao Google Workspace, Asana, Trella, Jira, Monday.com, Notion, Hubspot e muitos outros problemas relacionados ao OpenAI também podem ser relatados.

No entanto, existem restrições para realizar testes de segurança adicionais nessas empresas.

Os subdomínios do openai também estão incluídos no escopo do programa. Os subdomínios do OpenAI podem ser encontrados em

Vulnerabilidades fora do escopo

Embora a maioria dos bugs sejam elegíveis para relatório, alguns dos bugs listados abaixo estão fora do escopo do programa.

  • Problemas baseados no modelo
  • API de força bruta
  • Fuzzing, pulverização de senhas, ataques não autorizados
  • Credenciais roubadas ou vazadas resultantes
  • Sequestro de cliques
  • Problemas de segurança de criptografia SSL/TLS com PoC
  • Mensagens de erro do servidor sem prova de exploração
  • Problemas relacionados a navegadores/plugins antigos/EoL e muito mais

Para obter mais informações, consulte o tópico Fora do escopo em Bug Crowd.

Leitura relacionada:

Table of Contents