7 Hatalmas bug bounty kifizetések

A webböngésző gyártói az első technológiai cégek, amelyek hibajavításokat kínáltak - ahol fizetést hackereknek kínálnak, akik a kód sebezhetőségét találják meg. A Netscape 1995-ben elindította a dolgokat, 2004-ben pedig a Mozilla.

A cél az, hogy a hackerek elmondják egy veszélyeztetett vállalatnak egy hibát, még mielőtt a kizsákmányolás nyilvánosságra kerülne. Hasznos lehet a hackerek és a vállalkozások számára - miért blokkolja a rossz fiúkat, ha a zsoldos hackerek segíthetnek a biztonság felszámolásában?

Az elmúlt években a hibakeresés nagy üzletgé vált olyan szereplőkkel, mint a Google, a Facebook, a Yahoo és a Microsoft, amelyek nagy összegeket kínálnak fel. Sokan mások - például a Tesla, a Yelp, a Reddit, a Square, az 1Password és az Uber - csatlakoztak a párthoz, ám a hibajavítás nem korlátozódik a tech-cégekre. A pénzügyek, az egészségügy és a kormányzati szervezetek adókat kínálnak, mert kétségbeesetten állnak előre a következő nagyobb jogsértés előtt.

A hibakeresések annyira általánosak, hogy léteznek olyan harmadik fél brókerek, mint például a Bugcrowd és a HackerOne, amelyek a hackereket hamis pénzhez kötik. Amint azt a HackerOne 2018. évi Hacker-jelentése részletezi, a vállalat több mint 23 millió dollárt fizett ki a hálózatában lévő 166 000 hackereknek, akik több mint 72 000 sebezhetőséget javítottak ki. Ez sok jó munka - sokkal kevesebb pénzért, mint egy valódi hack pénzbe és jó hírnévbe kerülhet egy vállalat számára.

A jelentés szerint önmagában a HackerOne közösségben regisztrált felhasználók száma tízszeresére növekedett.

Természetesen vannak negatívok is. Az Exodus Intelligence például nagyobb összegeket kínál, mint a nagyvállalatok. Ezután előfizetést ad el a cégeknek, amely tartalmazza a hibainformációkat. Ez nem feltétlenül rossz - fontos a sebezhetőség megtalálása. De amint azt Sophos Lisa Vaas megjegyzi, "a brókerek kizsákmányolása a jó fiúk oldalán lehet - mondjuk antivírus-kereskedők, akik meg akarják védeni az embereket az újonnan felfedezett lyukaktól - vagy hogy támadók lehetnek, és érdekli a nyilvánosságra nem hozott adatok felhasználását. kihasználja maguknak a rendszereknek a célzását."

Az alábbiakban vessünk egy pillantást a legnagyobb kifizetésekre, amelyek még a bugok kifizetődő mezőjében találhatók. Ha tud valamelyik nagyobb összegről, tudassa velünk a megjegyzésekben.

Eskü / Verizon Media

2018 áprilisában a korábban Oath Inc. néven ismert szervezet 400 000–40 résztvevőt bocsátott ki a HackerOne élő hackeléses H1-415 eseményére. Az Oath / Verizon Media, amely a Yahoo és az AOL tulajdonában van, később további 400 000 dollárt bocsátott ki egy külön rendezvényen, 2018 novemberében a hackerek számára, akik 159 kritikus biztonsági rést fedeztek fel.

Ezeknek a hibahibák eseményeknek a sikere után a társaság létrehozott egy összevont hibajavaslati programot, amely 2018-ban 5 millió dollárt fizett ki a hackereknek és a kutatóknak, akik különféle fenyegetés szintű hibákat találtak több platformon keresztül. ( Fotó: Noam Galai / Getty Images a Verizon Media számára )



Microsoft

A Microsoft tavaly mérföldkövet ért el 2 millió dolláros bug bounty kifizetésekkel, ezt követően abbahagyta az egyes pénzösszegekről szóló információk közzétételét, az összegek és az eset súlyossága mellett. De az egyetlen embernek elnyert legnagyobb haszon, amelyről ismertünk, Vasilis Pappas, aki 200 000 dollárt kapott 2012-ben, amikor egy Columbia University PhD hallgató volt. Pappas megoldásokat nyújtott be egy visszatérés-orientált programozási problémára, amelyen a hackerek a biztonsági ellenőrzések körülkerültek, és létrehozta a kBouncer programot, amely enyhíti a ROP-hoz hasonlókat.



Google

A Google sebezhetőségi jutalmak programja 2010-re nyúlik vissza. Azóta több mint 15 millió dollárt fizet ki, ebből 3, 4 millió dollárt nyert 2018-ban (és 1, 7 millió dollárt az Android és a Chrome hibáira összpontosított). A legnagyobb egyszeri kifizetés tavaly 41 000 dollár hala volt egy meghatározatlan kutatónak. A nyilvános pénzeszközök közül az 19 éves Uruguay-i Ezequiel Pereira 36 000 dollárt kapott azért, mert a Google Cloud Platform konzolján távoli kódvégrehajtási hibát fedez fel.



HackerOne milliomos

Mintha Pereira története nem elegendő, meg kell említenünk egy másik 19 éves dél-amerikai embert, aki megöli a bűbáj-játékot: Argentína Santiago Lopez, az első személy, aki a HackerOne platformon 1 millió dolláros jövedelmet szerzett. Az öntanuló hacker azt mondja, hogy a YouTube-videók megnézésével és a saját blogjainak olvasásával kezdte meg kezét, de mi indította el a hackerek iránti érdeklődését? Mi más? Az 1995-ös film Hackerek . ( Fotó: Egyesült művészek / Getty Images )



Facebook

Egy olyan vállalkozás számára, amely az évek során néhány biztonsági rést tapasztalt, nem teljesen meglepő, hogy a Facebook szívesen találja meg a hiányosságokat és kihasználja a kódját. A közösségi hálózat hibajavító programja 7, 5 millió dollárt fizet ki annak 2011-es kezdete óta. A Facebook korábbi rekordja a legnagyobb egyszeri kifizetésnek Andrew Leonovnak, egy orosz biztonsági kutatónak jutott el, akinek 40 000 dollár jutalmat kapott egy harmadik fél biztonsági szoftverének biztonsági hibájának fedezésére. hatással lehet a Facebookra. Az új rekordkifizetés tavaly történt - hűvös 50 000 dollár egy személynek.



Az Egyesült Államok Védelmi Minisztériuma

2016-ban egy hónapon keresztül az Obama kormánya alatt a DoD szó szerint: "Hack the Pentagon!" Kétszázötven hackert követtek el hibákat az ügynökség rendszerében, és 138 sérülékenységet találtak, amelyeket érdemes bezárni. A hackereknek fizetett teljes összeg 150 000 dollár volt - ami Ashton Carter akkori honvédelmi miniszter szerint mintegy 850 000 dollárral kevesebb volt, mint amennyire költsége lenne egy profi biztonsági audit elvégzéséhez.

2018-ban a Védelmi Minisztérium kibővítette a hackathon-ot a HackerOne által üzemeltetett új programok nagy számmal, amelyek a hadsereg, a légierő, a tengerészgyalogosok és a védelmi utazási rendszer tulajdonában lévő kormányzati rendszereket célozták meg. Összesen 500 000 dollárt ítéltek oda a hackerek számára, akik mintegy 5000 egyedi sebezhetőséget fedeztek fel a kormányzati adatbázisok és webhelyek között.



United Airlines: 1 millió mérföld

A United Airlines nem ad ki készpénzt, de ingyenes mérföldeket ad neked. Sokan. Számos kutatónak adtak szórólap mérföldet tavaly, köztük Olivier Beg, egy 19 éves holland biztonsági kutató, aki 1 millió mérföldet kapott azért, hogy körülbelül 20 különféle hibát talált a légitársaság rendszerében. ( Fotó: Nicolas Economou / NurPhoto a Getty Images-n keresztül )