Obsah:
- Oath / Verizon Media
- Microsoft
- Milionár hackerov
- Ministerstvo obrany USA
- United Airlines: 1 milión míľ
Prvými technologickými spoločnosťami, ktoré ponúkali odmeny za chyby - kde sa ponúka platba hackerom, ktorí v tomto kóde nachádzajú zraniteľné miesta - boli tvorcovia webových prehliadačov; Netscape odštartoval veci v roku 1995 a Mozilla urobila to isté v roku 2004.
Cieľom je prinútiť hackerov, aby informovali rizikovú spoločnosť o chybe skôr, ako sa zneužitie stane verejne známou. Je to výhodné pre hackerov a podniky - prečo blokovať zbabelcami, keď môžu žoldnierski hackeri pomôcť zvýšiť bezpečnosť?
V posledných rokoch sa lov bugov stal veľkým biznisom, keď hráči ako Google, Facebook, Yahoo a Microsoft ponúkajú veľké sumy. Od tej doby sa k večeru pripojilo mnoho ďalších - napríklad Tesla, Yelp, Reddit, Square, 1Password a Uber, ale odmeny za chyby sa neobmedzujú len na technologické spoločnosti. Financie, zdravotníctvo a vládne subjekty ponúkajú odmenu, pretože sa zúfalo chcú držať krok s ďalším závažným porušením.
Odplaty za chyby sa stali tak bežné, že existujú brokeri tretích strán, ako sú Bugcrowd a HackerOne, ktorí spájajú hackerov s odmenami. Ako je uvedené v Hackerovej správe spoločnosti HackerOne z roku 2018, spoločnosť vyplatila vyše 23 miliónov dolárov iba 166 000 hackerom vo svojej sieti, ktorí majú opravených viac ako 72 000 zraniteľností. To je veľa dobrej práce - za oveľa menej peňazí, ako skutočný hack môže stáť spoločnosť v peniazoch a povesti.
Počet registrovaných užívateľov v samotnej komunite HackerOne podľa správy desaťnásobne vzrástol.
Prirodzene, existujú aj určité negatíva. Napríklad Exodus Intelligence ponúka vyššie odmeny ako veľké spoločnosti. Potom predá spoločnosti predplatné, ktoré obsahuje tieto informácie o chybe. To nemusí byť nevyhnutne zlé - nájsť zraniteľné miesta je dôležité. Ako však poznamenáva Sophos 'Lisa Vaas, „využívajú zákazníci brokerov“ na strane dobrých chlapcov - povedzme, antivírusových predajcov, ktorí chcú chrániť ľudí pred novoobjavenými dierami - alebo že môžu byť na ofenzívu a majú záujem používať nezverejnené informácie. využíva na zacielenie samotných systémov. ““
Nižšie nájdete niekoľko najväčších výplat, ktoré sa doteraz nachádzajú v bohatom poli odmien o chybách. Ak viete nejaké väčšie odmeny, dajte nám vedieť v komentároch.
Oath / Verizon Media
V apríli 2018 organizácia predtým známa ako Oath Inc. vyhrala 400 000 dolárov pre 40 účastníkov živej hackerskej akcie H1-415 spoločnosti HackerOne. Spoločnosť Oath / Verizon Media, ktorá vlastní spoločnosti Yahoo a AOL, neskôr v novembri 2018 na samostatnej udalosti znížila ďalších 400 000 dolárov na hackerov, ktorí identifikovali 159 kritických bezpečnostných zraniteľností.
Po úspechu týchto udalostí týkajúcich sa odplaty za chyby spoločnosť vytvorila konsolidovaný program odplaty za chyby, ktorý vyplatil v roku 2018 5 miliónov dolárov hackerom a výskumníkom, ktorí našli chyby rôznych úrovní hrozieb na viacerých platformách. ( Foto: Noam Galai / Getty Images pre Verizon Media )
Microsoft
Spoločnosť Microsoft v minulom roku dosiahla medzník s výplatami odmeny za chyby vo výške 2 milióny dolárov, po ktorých okrem informácií o závažnosti a závažnosti prípadov zastavila zverejňovanie informácií o jednotlivých odmenách. Najväčšou odmenou pre jedného človeka, ktorého poznáme, je Vasilis Pappas, ktorý v roku 2012 dostal 200 000 dolárov, keď bol doktorandom na Columbijskej univerzite. Pappas predložil riešenia problému zameraného na návrat programovania, ktorý hackeri používali na obídenie bezpečnostných kontrol, a vytvoril program kBouncer, ktorý zmierňuje všetko, čo vyzerá ako ROP.
Milionár hackerov
Ak Pereira príbeh nestačí, musíme spomenúť ďalšieho 19-ročného Juhoameričana, ktorý zabíja štedrovú hru: Argentínsky Santiag Lopez, prvá osoba, ktorá na platforme HackerOne zarobila prvý milión dolárov. Hacker, ktorý sa učil samostatne, hovorí, že začal svoj tím sledovaním videí na YouTube a čítaním blogov sám, ale to, čo jeho záujem o hackovanie naštartovalo? Čo ešte? Film Hackers z roku 1995. ( Foto: United Artists / Getty Images )
Pre spoločnosť, ktorá v priebehu rokov zažila niekoľko bezpečnostných zákrokov, nie je celkom prekvapujúce, že Facebook by túži nájsť a vyriešiť medzery a využiť svoje kódy. Program odplaty za chyby v sociálnej sieti vyplatil od svojho vzniku v roku 2011 7, 5 milióna dolárov. Predchádzajúca najvyššia jediná výplata Facebooku odišla Andrewovi Leonovovi, ruskému bezpečnostnému výskumníkovi, ktorý získal 40 000 dolárov za odhalenie bezpečnostnej chyby v bezpečnostnom softvéri tretej strany, ktorý môže ovplyvniť samotný Facebook. Nová rekordná výplata sa udiala minulý rok - pohode 50 000 dolárov pre jednu osobu.
Ministerstvo obrany USA
Na jeden mesiac v roku 2016 ministerstvo obrany pod vládou Obamu doslova povedalo: „hacknite Pentagón!“ Dvadsať päťdesiat hackerov išlo po chybách v systémoch agentúry a zistilo sa, že 138 zraniteľností stojí za zatvorenie. Celková výplata hackerom bola 150 000 dolárov - čo podľa ministra obrany Ashtona Cartera bolo o 850 000 dolárov menej, ako by bolo potrebné na vykonanie profesionálneho bezpečnostného auditu.
V roku 2018 ministerstvo obrany rozšírilo hackathona o množstvo nových programov organizovaných spoločnosťou HackerOne, ktoré sa zameriavali na vládne systémy vo vlastníctve armády, letectva, Marines a obranného cestovného systému. Poskytli hackerom, ktorí objavili okolo 5 000 jedinečných zraniteľných miest vo vládnych databázach a webových stránkach, 500 000 dolárov.
United Airlines: 1 milión míľ
Spoločnosť United Airlines neposkytuje hotovosť, dá vám však míle zadarmo. Veľa z nich. V minulom roku bolo mnohým výskumným pracovníkom udelené letové míle vrátane 19-ročného výskumného pracovníka v oblasti bezpečnosti Oliviera Bega z Holandska, ktorý dostal 1 milión kilometrov za nájdenie približne 20 rôznych chýb v systémoch leteckej spoločnosti. ( Foto: Nicolas Economou / NurPhoto prostredníctvom Getty Images )
