Sony start PlayStation-bugbountyprogramma met beloningen tot 50.000 dollar

Sony is via HackerOne gestart met een bugbountyprogramma voor de PlayStation 4 en het PlayStation Network. Het vinden van een kwetsbaarheid in de hardware kan maximaal 50.000 dollar opleveren. Voor PSN is dat maximaal 3000 dollar.

Sony was al aanwezig op HackerOne en onderzoekers konden daar al kwetsbaarheden in hardware en software van het bedrijf melden, maar nu is er een specifiek programma opgezet voor de PlayStation 4 en PSN, waarbij is vastgelegd welke vondsten in aanmerking komen voor een beloning.

Het programma noemt een specifiek aantal domeinen die binnen de scope vallen. Wat hardware betreft gaat het alleen om de PlayStation 4 en dan specifiek de meest recente firmware of bètafirmware. Wel houdt Sony de deur open voor het uitkeren van beloningen voor het vinden van kwetsbaarheden in oudere firmwareversies, maar dat zal per geval beoordeeld worden. Voor het vinden van kwetsbaarheden in oudere PlayStation-consoles of -handhelds geeft Sony geen beloning.

Een kritieke kwetsbaarheid in de PlayStation 4 levert de vinder maximaal 50.000 dollar op. Kwetsbaarheden die ingeschaald worden als een hoog, gemiddeld of laag risico, zijn goed voor respectievelijk 10.000, 2500 en 500 dollar. Voor meldingen van kritieke kwetsbaarheden in het PlayStation Network heeft Sony 3000 dollar over. Kwetsbaarheden met de risico's die geclassificeerd zijn als hoog, gemiddeld of laag, zijn goed voor 1000, 400 en 100 dollar.

Sony zegt dat het eerder al een bugbountyprogramma voor PlayStation had, maar dat ging om een gesloten project waarbij Sony direct contact had met een aantal beveiligingsonderzoekers. Nu het programma op HackerOne staat, kan iedereen deelnemen.

Microsoft begon dit jaar een Xbox-bugbountyprogramma op HackerOne. Daarbij is maximaal 20.000 dollar te verdienen voor het vinden van een kwetsbaarheid. Nintendo looft datzelfde bedrag uit voor kritieke kwetsbaarheden in zijn Switch- en 3DS-hardware.

Sony PlayStation 4

Door Julian Huijbregts

Nieuwsredacteur

25-06-2020 • 08:07

44

Submitter: kaanmijo

Reacties (44)

44
43
11
2
0
31
Wijzig sortering
Goed dat het bugbounty programma nu publiekelijk beschikbaar is; meer deelnemers betekent immers een grotere kans om bugs te vinden en op te lossen.

Ik vind het echter wel vreemd dat kwetsbaarheden op basis van PS4 Hardware (een console die eind dit jaar "vervangen" gaat worden) beter beloond wordt dan het PSN.
PSN wordt immers gebruikt voor de PS3, PS4, (vermoedelijk) de PS5, en ik neem aan ook de PS Vita (geen ervaring). Tevens is dit ook het platform waar al je gegevens (en games) aan gekoppeld zijn.
Gezien PSN al eerder "gehackt" is lijkt het mij niet meer dan logisch om juist hier meer onderzoek in te steken.

Vreemd. :?
Omdat er meer in PSN bugs worden verwacht die makkelijker opspaarbaar zijn dan in de ps4.
Ja ps4 wordt vervangen maar de komende 3 jaar is dat nog wel de meeste gebruikte playstation.
De PS4 zal inderdaad bij de meeste niet "instant" vervangen worden bij de release van de PS5, en zal waarschijnlijk nog jaren naast een PS5 blijven staan, al is het enkel om de bestaande gamecollectie nog eens te kunnen spelen.

Echter heeft het PSN meer gebruikers dan de PS4, en zal PSN hét platform blijven, zowel voor oude als nieuwe PS consoles (en meer?).
Ik kan best begrijpen dat kleine / simpele / makkelijk te vinden kwetsbaarheden in het PSN platform niet groots beloond zullen worden, maar had graag gezien dat hier onderscheid gemaakt zou worden tussen kleine en grote kwetsbaarheden.

Hoe klein de kans ook is, als iemand nu de gehele PSN database zou kunnen benaderen, staat daar dus (volgens dit programma) een beloning tegenover van $3000.
Dan liever een beloningsprogramma dat oploopt per categorie / type kwetsbaarheid, zoals bijvoorbeeld bij Apple.

Edit:
Accounts database benaderen is wellicht wat overdreven en out-of-scope, maar het programma geld wel voor onder andere de volgende domeinen;
transact.playstation.com
wallets.api.playstation.com

Lijkt dus ook betalingen op het platform te betreffen, en dus eventuele creditcard data etc.
$3000 8)7

[Reactie gewijzigd door Awesomehobo op 26 juli 2024 04:50]

Een bounty van 3000 euro is een beetje aan de kleine kant. De creditcard data van een aantal individuen is al meer waard dan dat. Dit bugbounty programma zal wel niet zo populair worden
al is het enkel om de bestaande gamecollectie nog eens te kunnen spelen.
Mwah, de PS5 is backwards-compatible met de PS4; dus in tegenstelling tot de voorgaande jaren voorzie ik dat de PS4 vrij snel gaat 'verdwijnen'. Of mogelijk dat men met nog een revisie komt en het als echt een goedkoop alternatief op de markt gaat zetten.
[...]


Mwah, de PS5 is backwards-compatible met de PS4; dus in tegenstelling tot de voorgaande jaren voorzie ik dat de PS4 vrij snel gaat 'verdwijnen'. Of mogelijk dat men met nog een revisie komt en het als echt een goedkoop alternatief op de markt gaat zetten.
Ik denk ook dat het verdwijnen van de PS4 door die backwards compatibility een stuken sneller zal gaan dan een toen de overstap van de PS3 naar PS4 kwam. Sterker nog, beide consoles staan nog bij elkaar in het AV meubel, en worden beide gebruikt.
Is dit niet gewoon om piraterij tegen te gaan? In PSN een bug vinden, zal zelden leiden tot het rooten van je console. Terwijl een bug in de hardware/software wel een toegang voor modders en piraten kan zijn.

Best slim van Sony om de whizkids af te kopen. Als je zou kunnen kiezen tot het gratis (en wellicht illegaal) uitbrengen van een 'jailbreak' of het verdienen van 50k, zou ik er heel goed over nadenken (nee, gewoon die 50k natuurlijk :+ ).
Deels. In het geval van Microsoft zit er een nog dringender belang achter, immers draait de Xbox One op Hyper-V, en laat dat nu net Microsoft's enterprise-virtualisatieplatform zijn. Een flink lek daarin kan op de zwarte markt wellicht miljoenen opleveren.
Naja, zo vreemd is het niet. Denk maar maybe daar aan dat er gedeeltelijke dingen worden overgenomen van PS4 naar PS5 en omdat PS4 al rijp is, kunnen zij zo snel die kinderziektes oplossen.

Gratis check voor hun, spaart hun R&D ;)

En het is wel een beetje "free" publicity
Naar mijn weten gaat ook de PS5 Sony's FreeBSD-fork draaien. Dus flinke delen van het besturingssysteem zullen identiek zijn.
Zelfs de PSP kon tijdens zijn bestaan op de Playstation Store (deel van PSN). Dit is stopgezet 2016.

Vita PS3 en PS4 kunnen nog allemaal op PSN.
Ik heb al de grootste irritantste bug gevonden: Als je een patch/update van bijv 5GB moet doen, op een spel dat 75 GB groot is, moet je 75GB extra vrije ruimte hebben :(

Stuur maar naar mn rekening :+

(maar even serieus, ik mag echt hopen dat dit opgelost is op de 5)
Dit zou opgelost moeten zijn. Mark Cerny gaf hiervan de trage HDD en fragmentatie de schuld (ondanks dat dit allang opgelost is op PC (met HDDs) en Xbox) en gaf aan dat het op de PS5 niet langer gebeurd omdat er een SSD aanwezig is (en je daarbij geen last hebt van fragmentatie).

Edit: In de "Road to PS5" video stipt hij dit kort aan rond 11:31 https://www.youtube.com/watch?v=ph8LyNIT9sg

[Reactie gewijzigd door Caayn op 26 juli 2024 04:50]

Ja klopt, maar ik moet t nog zien. Maar t had dacht ik te maken met een te kleine page/swap file ofzoiets. En dat er dan te weing ruimte was voor de update, waardoor er eerst een complete backup van het hele spel gemaakt moest worden.

Of t echt aan de HDD en fragmentatie lag? Het zal vast wel, maar een SSD in je PS4 loste dat probleem ook niet op. (Heb ik)
Dat ligt eraan dat Sony niet fatsoenlijk kan patchen op de PS4. Dus maken ze een volledige kopie van je bestaande game (daar heb je dus de extra ruimte voor nodig), vervolgens patchen ze de update erin en als deze geslaagd is, dan verwijderen ze de kopie weer.

Behoorlijk gare implementatie en straks als je nog je PS4 games wil spelen op de PS5, zit je nog steeds met hetzelfde probleem..

Xbox heeft dit probleem niet namelijk, en dus hun updatebeleid beter op orde.

Straks met PS5 games zou het wel verleden tijd moeten zijn :).
Tenzij de ontwikkelaar een patch uit brengt voor het spel om rekening te houden met een SSD.
Die gaan er namelijk ongetwijfeld komen.
Ik zou daar niet blind vanuit gaan. Misschien gedurende de eerste paar maanden, maar daarna is het echt wel klaar met PS4 games, is dan inmiddels de vorige generatie en minder interessant om voor te ontwikkelen.

Al hebben ze dan nog steeds een flinke userbase.
Waarom en vooral ook hoe zou een ontwikkelaar (van een spel) rekening houden met het interne opslagmedium van een console?
De hoe is niet zo moeilijk. Vraag via het OS wat het is.
De waarom omdat het kan en klantvriendelijk is.

Ik zie het niet voor ieder spel gebeuren maar games Destiny 2 waarvan al is aangegeven dat Bungie de PS5 zal ondersteunen, zie ik het wel voor gebeuren.
Dat opvragen van het medium bij het os, dat snap ik ook nog wel.
Maar ik vraag me oprecht af, wat een spel (dus niet os) opeens anders zou moeten als er een SSD in zit ipv een HDD. Dat soort zaken wil je toch op os-level doen?
Ah, dan heb je dus niet de video van Mike Cerny bekeken mbt hoe patchen nu gaat op een PlayStation met HDD.

Voor optimalisatie word het spel opnieuw, in zijn volledigheid, beschreven naar een vrij deel van de HDD.
Dit om te voorkomen dat het spel niet gefragmenteerd staat over de schijf, wat tot onnoide laadtijden kan leiden.

Met een SSD heb je dit probleem niet.

Als je niet begrijpt hoe een HDD en SSD werken, dan zijn daar zoekmachines voor.
Dat ga ik je niet uitleggen.
Komt omdat Xbox niet de orginele game files patched maar de losse title updates er bij zet.
Dit is echter pas het geval vanaf ongeveer versie 4.5. Eerder werd bij het patchen van een spel geen kopie gemaakt. De reden voor deze verandering is, zoals Mark Cerny aangeeft in bovenstaande video, primair om laadtijden te kunnen garanderen en fragmentatie te minimaliseren. Ik ga ervanuit dat zulke zaken niet meer van toepassing zijn bij de PS5 en geen nieuwe kopie zal aanmaken.
Dat klopt. Dat is ook precies wat Mike Cerny dus uitgelegd heeft.
In de PS4 wordt er geen rekening gehouden met een SSD. Er is dan ook geen aparte logica aanwezig om patches anders te verwerken voor wanneer je zelf een SSD geïnstalleerd hebt. De PS4 zal dan ook bij zowel een HDD als een SSD hetzelfde patch process/logica gebruiken ;)
Sony had er misschien rekening mee kunnen houden dat men SSD harddisk in de PS4 gezet is maar het niet niet de standaard. Dus waarschijnlijk hadden ze geen zin om een 2e update installatie in te bouwen. Bij de PS5 zit het er standaard in en heeft het dus geen zin meer om het anders te doen.
ik weet niet anders dat dit

https://www.pushsquare.co...update_files_take_so_long

zodat de kans op corrupted files niet zou gebeuren
Komt nog bij dat de snelheid van een PSN-download verschrikkelijk traag is.
Valt de laatste tijd mee, download echt wel 20MB/s
dit is echt helemaal klote idd. Hoop echt dat hier verandering in komt. Bij de laatste COD modern warfare was dit nog niet gefixed dus ik denk dat het nog steeds bestaat.

Was op een gegevenmoment de enige game die ik op de hele 500GB ps4 geinstalleerd kon heben staan. Met een install base van 190GB en dus nog 310GB beschikbaar kon ik geen enkele andere game er op hebben staan omdat anders de update niet gedownload kon worden van 5GB....
Mooi dat ze dit doen maar waarom doen ze dit nu pas? De PS5 komt ergens eind dit jaar uit en de PS4 is er al sinds eind 2013. Klinkt een beetje alsof ze zo min mogelijk willen uitbetalen of een marketingtruc, immers zijn de meeste bugs al opgelost in die 7(!) jaar dus wat blijft er nog over en hoeveel waarde hechten ze nog aan bugs op een uitlopend model?
Vergeet niet: de PS5 wordt groot en deels backwards compatibele en draait net als de PS4 op een x86 architectuur. Het lijkt mij dan ook aannemelijk dat het OS (gedeeltelijk) ook gebaseerd is op Orbis OS/FreeBSD. Ook al zijn ze laat met dit programma, wanneer er een zwakheid in de PS4 wordt gevonden is de kans zeker aanwezig dat deze ook in de PS5 zit.

Mijn voorspelling: Volgens mij gaan consoles ook steeds meer PC's lijken wat dat betreft. Er komen door de jaren heen verschillende versies op de markt, waarbij je minimaal een bepaalde versie moet hebben om het spel te spelen (of je moet cloud gaming gebruiken). De hardware en software veranderen qua architectuur en werking niet in zo verre dat spellen incompatibel worden bij de release van een nieuw systeem, maar een nieuw systeem kan wel tot een grotere library, betere framerates, resoluties en graphics leiden.
Microsoft lijkt ook deze kant op te gaan met de Xbox Series X.
Kortom, ze willen een HEN cfw voorkomen op de PS4?
of de ps5 gebruikt veelal dezelfde sofware als de ps4? en dus alles wat hierop gevonden word kan onderzocht worden of dat op ps5 van toepassing is.
Of men wil het komende jaar zo veel mogelijk van de bugs in de PS4 fixen voordat ze de ontwikkeling van de firmware op een laag pitje gaan zetten. Dat zou ook verklaren waarom de bedragen voor PSN hacks zo laag zijn, daarvoor blijven ze toch wel doorontwikkelen voorlopig.
Hopelijk vinden ze dan ook iets wat ervoor zorgt dat het apparaat geen discs meer leest van tijd tot tijd. Mijn ps4 is al 2 keer weggeweest en tot 2x toe is er niks gevonden.
Dat is het verschil tussen illegaal miljarden "verdienen" en legaal € 50.000.
Witgeld is aantrekkelijker dan zwart geld tot op zekere hoogte. Wanneer jij zo veel aan een exploit kan verdienen dat je de rest van je leven op een paradijs achtig eiland kan leven zullen niet al te veel mensen nog kiezen voor die bounty van 50k.

Het is ook niet zo maar dat de bounty’s veel meer opleveren bij de grote 3 omdat hun weten dat dat de enige manier is om de meeste exploits te kunnen afvangen
Als jij met zwart geld in die paradijs beland dan zit je wel met de angst van als ik gepakt wordt dan is alles weg..
Alleen mensen denken niet langer dan hun neus is de probleem.
Je gaat nooit miljoenen verdiennen daarmee, als er zo'n bug in zit dan komen ze er al vrij snel achter en zullen ze het patchen. Zoiets blijft niet onopgemerkt.
Het is vaak niet de persoon die een exploit vindt die er ook echt 'dik' aan gaat verdienen. GeoHot heeft bijvoorbeeld de iPhone en de PS3 gekraakt toen dit onmogelijk leek, maar is daar zelf niet rijk mee geworden.
Mwuah, het heeft hem zeker geen windeieren gelegd. Die eerst gehackte iPhone zou hij voor 3 iPhones en een nissan 350z (die rond de 25kUSD begonnen) hebben geruild. Daarnaast heeft hij er ook veel naamsbekendheid meegekregen, wat waarschijnlijk ook 1 van de redenen is dat hij het geld bij elkaar heeft kunnen krijgen voor een bedrijf in autonoom rijden, wat echt geen goedkope of makkelijke markt is.
Dat laatste ben ik het helemaal met je eens, maar is het niet als een grote dienst gaan aanbieden om er miljoenen mee te maken zoals de 'kopers' van zijn hack wel hebben gedaan.

Op dit item kan niet meer gereageerd worden.