شرکت سونی از راهاندازی یک برنامهی پاداش در ازای اشکال عمومی برای کنسول بازی و شبکهی پلیاستیشن، با همکاری بستر افشای شکافهای امنیتی HackerOne خبر داد. پیش از این، سونی یک برنامهی پاداش در ازای اشکال خصوصی را تنها با چند محقق امنیتی اجرا میکرد، اما اکنون به این واقعیت پی برده است که جامعهی تحقیقاتی نقش مهمی در بهبود امنیت بازیها داشته و این برنامهی جدید را بر این تحقق استوار کرده است.
در این برنامه، سونی از جامعهی تحقیقاتی امنیت سایبری، گیمرها و افراد دیگر دعوت کرده است تا امنیت پلیاستیشن ۴ و شبکهی پلیاستیشن را مورد آزمایش قرار دهند. اعضای جامعهی HackerOne علاقهمند به مشارکت در این برنامه، میتوانند بیش از ۵۰هزار دلار در ازای گزارش آسیبپذیریهای با شدت بحرانی در پلیاستیشن ۴ دریافت کنند. حداقل مبلغ پرداختی برای آسیبپذیریهای بحرانی در شبکهی پلیاستیشن نیز، ۳هزار دلار تعیین شده است.
به گفتهی HackerOne، مبلغ پاداش بر اساس شدت آسیبپذیری و همچنین کیفیت گزارش ارائهشده متفاوت خواهد بود. علاوهبراین، سونی تنها به محققانی پاداش میدهد که آسیبپذیری گزارششده توسط آنها، از قبل گزارش نشده باشد.
طبق گزارشها، این برنامه دامنههای .playstation.net، .sonyentertainmentnetwork.com، .api.playstation.com، my.playstation.com، store.playstation.com، social.playstation.com، transact.playstation.com و wallets.api.playstation.com را شامل میشود. همچنین، نسخههای فعلی و بتای منتشرشده برای سیستم، لوازم جانبی و سیستم عامل پلیاستیشن ۴ در محدودهی این برنامه قرار دارند. بااینحال، ارسال آسیبپذیریهای موجود در نرمافزار سیستم قبلی نیز ممکن است به صورت موردی پذیرفته شود.
این درحالی است که پلیاستیشن ۱، پلیاستیشن ۲، پلیاستیشن ۳، PS Vita و PSP یا هر سختافزار دیگر، سایر دامنههای اشارهنشده، زیرساخت IT شرکت، آسیبپذیریهای موجود در نرمافزار متنباز که در کمتر از ۷ روز عمومی شدهاند و بازیها و برنامههای شخص ثالث، جزو این برنامه نیستند.
محققان مؤظفند بهسرعت آسیبپذیریهای شناساییشده را گزارش دهند، جزئیات کافی برای تأیید صحت گزارش خود را ارائه داده و قبل از وصلهشدن آنها، آسیبپذیریها را بهصورت عمومی منتشر نکنند. علاوهبراین، محققان از مشاهده، استفاده، تغییر، انتقال یا دسترسی به دادههای محیط پلیاستیشن و همچنین، ایجاد اختلال عمدی در شبکهها، سیستمها، اطلاعات، برنامهها، محصولات یا خدمات شرکت منع شدهاند.
سونی اعلام کرد، نقض این الزامات ممکن است منجر به رد صلاحیت دائمی محققان از برنامه شده و سونی این حق را برای خود محفوظ میدارد که از پرداخت پاداش به محققانی که این الزامات را نقض کردهاند، خودداری کند.
