7 plăți imense pentru recompense de bug

Primele companii tehnologice care au oferit bonuri pentru bug - unde plata este oferită hackerilor care găsesc vulnerabilități în cod - au fost producătorii de browser web; Netscape a dat startul lucrurilor în 1995, iar Mozilla a procedat la fel în 2004.

Scopul este de a-i determina pe hackeri să spună unei companii cu risc despre o eroare înainte ca exploitarea să fie cunoscută public. Este un câștig câștigător pentru hackeri și companii - de ce să-i blochezi pe cei răi când mai mulți hackeri mercenari pot ajuta securitatea?

În ultimii ani, vânătoarea de buguri a devenit o afacere mare cu jucători precum Google, Facebook, Yahoo și Microsoft, oferind toate sume mari. De atunci, mulți alții - cum ar fi Tesla, Yelp, Reddit, Square, 1Password și Uber - s-au alăturat petrecerii, dar recompensele pentru buguri nu se limitează doar la companiile tehnologice. Finanțele, asistența medicală și entitățile guvernamentale oferă recompense pentru că sunt disperate să rămână în fața următoarei încălcări majore.

Recomandările de erori au devenit atât de obișnuite încât brokerii terți precum Bugcrowd și HackerOne există pentru a conecta hackerii cu bani de recompensă. După cum este detaliat în Raportul HackerOne din 2018, compania a plătit peste 23 de milioane de dolari celor 166.000 de hackeri din rețeaua sa, care au rezolvat peste 72.000 de vulnerabilități. Este multă muncă bună - pentru mulți bani mai puțini decât un hack adevărat poate costa o companie în bani și reputație.

Numărul de utilizatori înregistrați doar în comunitatea HackerOne a explodat de zece ori, potrivit raportului.

Desigur, există și unele aspecte negative. Exodus Intelligence, de exemplu, oferă oferte mai mari decât marile companii. Vinde apoi un abonament către companii care include informațiile despre erori. Nu este neapărat rău - găsirea vulnerabilităților este importantă. Dar, după cum remarcă Lisa Vaas de la Sophos, „clienții brokerilor de exploatare ar putea fi de partea tipilor buni - spun, vânzătorii de antivirus care doresc să protejeze oamenii de găurile descoperite recent - sau că ar putea fi în ofensivă, interesați să folosească nedescris exploatează pentru a viza sistemele în sine."

Mai jos, aruncați o privire la câteva dintre cele mai mari plăți încă din câmpul abundent de bounties bug. Dacă cunoașteți câteva sume mai mari, spuneți-ne în comentarii.

Jurământ / Verizon Media

În aprilie 2018, organizația cunoscută anterior sub numele de Oath Inc. a strâns între 400.000 și 40 de participanți la evenimentul H1-415 de hacker în direct al HackerOne. Oath / Verizon Media, care deține Yahoo și AOL, a extras ulterior încă 400 de dolari la un eveniment separat din noiembrie 2018 hackerilor care au identificat 159 de vulnerabilități critice de securitate.

După succesul acestor evenimente de bounty bug, compania a creat un program consolidat de recompense pentru bug-uri, care a plătit 5 milioane de dolari în 2018 hackerilor și cercetătorilor care au găsit bug-uri de diferite niveluri de amenințare pe mai multe platforme. ( Foto de Noam Galai / Getty Images pentru Verizon Media )



Microsoft

Microsoft a atins anul trecut un punct de referință cu 2 milioane de dolari în sumele de bounty bug, după care a încetat să mai publice informații despre sume individuale, pe lângă sumele și gravitatea cazului. Dar cea mai mare recompensă acordată unei singure persoane despre care știm este Vasilis Pappas, care a primit 200.000 de dolari în 2012, când era student la doctorat la Universitatea Columbia. Pappas a prezentat soluții pentru o problemă de programare orientată spre întoarcere pe care hackerii o foloseau pentru a obține controalele de securitate și a creat kBouncer, un program care atenuează orice ar părea ROP.



Google

Programul de recompense pentru vulnerabilitate Google datează din 2010. De atunci a plătit peste 15 milioane de dolari, din care 3, 4 milioane de dolari au fost acordate în 2018 (iar 1, 7 milioane de dolari s-au concentrat pe bug-uri în Android și Chrome). Cea mai mare plată unică anul trecut a fost o sumă de 41.000 USD pentru un cercetător nespecificat. Dintre recompensele publice, Ezequiel Pereira, în vârstă de 19 ani, din Uruguay, a primit 36.000 de dolari pentru descoperirea unui bug de execuție a codului de la distanță în consola Google Platform.



HackerOne Millionaire

Ca și cum povestea lui Pereira nu ar fi suficientă, trebuie să menționăm un alt sud-american de 19 ani care ucide jocul de recompense pentru bug-uri: argentinianul Santiago Lopez, prima persoană care câștigă încasări de un milion de dolari pe platforma HackerOne. Hackerul autodidact spune că și-a dat startul urmărind videoclipuri pe YouTube și citind bloguri pe cont propriu, dar lucrul care i-a pornit interesul pentru hacking? Ce altceva? Filmul Hackers din 1995. ( Foto de United Artists / Getty Images )



Facebook

Pentru o companie care a experimentat câteva trepte de securitate de-a lungul anilor, nu este deloc surprinzător faptul că Facebook ar fi dornic să localizeze și să abordeze lacunele și exploatările din codul său. Programul de recompensare a erorilor din rețeaua socială a plătit 7, 5 milioane de dolari de la înființarea sa în 2011. Înregistrarea anterioară de Facebook a celei mai mari plăți unice a fost către Andrew Leonov, un cercetător de securitate rus care a primit 40.000 de dolari pentru descoperirea unui defect de securitate într-un software de securitate terț care ar putea afecta Facebook în sine. Noua remunerație record a avut loc anul trecut - 50.000 de dolari la o persoană.



Departamentul Apărării al SUA

Timp de o lună în 2016, DoD sub conducerea Obama a spus literalmente: "Pirata Pentagonul!" Două sute cincizeci de hackeri s-au dus după bug-uri în sistemele agenției și au descoperit 138 de vulnerabilități care merită să fie închise. Suma totală a hackerilor a fost de 150.000 de dolari, ceea ce atunci, secretarul apărării, Ashton Carter, a spus că a fost cu aproximativ 850.000 de dolari mai puțin decât ar fi costat pentru a obține un audit de securitate profesională.

În 2018, Departamentul Apărării a extins hackathonul la o serie de programe noi găzduite de HackerOne, care vizau sisteme guvernamentale deținute de armată, forță aeriană, pușcași marini și sistemul de călătorie de apărare. Aceștia au acordat 500.000 de dolari combinați hackerilor care au descoperit aproximativ 5.000 de vulnerabilități unice în bazele de date și site-uri web ale guvernului.



Companii aeriene unite: 1 milion mile

United Airlines nu dă bani, dar vă va oferi mile libere. Multi. Un număr de cercetători au fost premiați cu mile zburătoare anul trecut, inclusiv Olivier Beg, un cercetător de securitate în vârstă de 19 ani din Olanda, care a primit 1 milion de mile pentru că a găsit aproximativ 20 de bug-uri diferite în sistemele companiei aeriene. ( Foto de Nicolas Economou / NurPhoto prin Getty Images )