7 Obrovské výplaty odměn za chyby

Prvními technologickými společnostmi, které nabízejí odměny za chyby - kde jsou platby nabízeny hackerům, kteří v kódu zjistili zranitelnost - byli výrobci webových prohlížečů; Netscape věci odstartoval v roce 1995 a Mozilla udělal totéž v roce 2004.

Cílem je přimět hackery, aby informovali ohroženou společnost o chybě dříve, než bude zneužití veřejně známo. Pro hackery a podniky je to oboustranně výhodné - proč blokovat padouchy, když mohou žoldnéřští hackeři podpořit bezpečnost?

V posledních letech se lov bugů stal velkým obchodem s hráči jako Google, Facebook, Yahoo a Microsoft, kteří nabízejí velké částky. Spousta dalších - jako Tesla, Yelp, Reddit, Square, 1Password a Uber - se od té doby připojila ke straně, ale odměny za chyby se neomezují pouze na technologické společnosti. Finance, zdravotnictví a vládní subjekty nabízejí odměny, protože se zoufale snaží držet krok s dalším závažným porušením.

Odměny za chyby se staly tak běžnými, že existují brokeři třetích stran, jako jsou Bugcrowd a HackerOne, které spojují hackery s odměnou za peníze. Jak je podrobně uvedeno ve zprávě HackerOne HackerOne z roku 2018, společnost vyplatila více než 23 milionů dolarů pouze 166 000 hackerům ve své síti, kteří opravili přes 72 000 zranitelností. To je hodně dobré práce - za mnohem méně peněz, než může skutečný hack stát společnost v penězích a pověsti.

Počet registrovaných uživatelů v samotné komunitě HackerOne podle zprávy explodoval desetkrát.

Samozřejmě existují i ​​některé negativy. Například Exodus Intelligence nabízí vyšší odměny než velké společnosti. Poté prodá předplatné společnostem, které obsahují informace o chybě. To nemusí být nutně špatné - je důležité najít zranitelná místa. Ale jak Sophos 'Lisa Vaas poznamenává, „využívejte makléřské zákazníky“ na straně dobrých lidí - řekněme, antivirových dodavatelů, kteří chtějí chránit lidi před nově objevenými dírami - nebo že by mohli být na útok, kteří by chtěli použít nezveřejněné využívá k cílení na systémy samotné. “

Níže se podívejte na několik největších výplat, které se dosud vyskytly v hojném poli odměn za chyby. Pokud víte o větších odměnách, dejte nám vědět v komentářích.

Přísaha / Verizon Media

V dubnu 2018 organizace dříve známá jako Oath Inc. vyhnula 400 000 USD až 40 účastníkům živé hackerské akce H1-415 společnosti HackerOne. Oath / Verizon Media, která vlastní Yahoo a AOL, později v listopadu 2018 poslala další akci 400 000 $ hackerům, kteří identifikovali 159 kritických bezpečnostních zranitelností.

Po úspěchu těchto chybových odměn společnost vytvořila konsolidovaný program odměn za chyby, který v roce 2018 vyplatil hackerům a výzkumníkům, kteří na různých platformách našli chyby různých úrovní hrozeb, 5 milionů dolarů. ( Foto: Noam Galai / Getty Images pro Verizon Media )



Microsoft

Společnost Microsoft dosáhla v loňském roce milníku s výplatami odměn v hodnotě 2 miliony dolarů, po kterých zastavila vydávání informací o jednotlivých odměnách kromě částek a závažnosti případů. Největší odměnou pro jednoho člověka, o které víme, je Vasilis Pappas, který v roce 2012 získal 200 000 dolarů, když byl doktorandem na Columbia University. Pappas předložil řešení pro problém s orientací na návrat, který hackeři používali k obcházení bezpečnostních kontrol, a vytvořil kBouncer, program, který zmírňuje vše, co vypadá jako ROP.



Google

Program odměňování zranitelností společnosti Google sahá do roku 2010. Od té doby vyplatil více než 15 milionů dolarů, z nichž 3, 4 milionu dolarů bylo uděleno v roce 2018 (a 1, 7 milionu dolarů se zaměřilo na chyby v systémech Android a Chrome). Největší výplata v loňském roce byla odměna 41 000 dolarů neurčenému výzkumníkovi. Z veřejných odměn obdržel 19letý Ezequiel Pereira z Uruguaye 36 000 dolarů za objevení chyby vzdálené spuštění kódu v konzole Cloud Platform společnosti Google.



HackerOne Milionář

Jako by Pereirův příběh nestačil, musíme zmínit další 19letý jihoameričan, který zabíjí hru na odměnu za chybu: argentinského Santiaga Lopeze, první osoby, která na platformě HackerOne vydělala 1 milion dolarů. Hacker, který se naučil samostatně, říká, že začal, když sledoval videa na YouTube a četl blogy sám, ale to, co jeho zájem o hackerství začalo? Co jiného? Film Hackers z roku 1995. ( Foto: United Artists / Getty Images )



Facebook

Pro společnost, která v průběhu let zažila několik bezpečnostních zániků, není zcela překvapivé, že Facebook bude dychtivě hledat a řešit mezery a zneužívat ve svém kódu. Program odměny za chyby v sociální síti vyplatil od svého založení v roce 2011 7, 5 milionu dolarů. Předchozí rekord Facebooku s nejvyšší jednorázovou výplatou odešel Andrew Leonov, ruský výzkumný pracovník v oblasti bezpečnosti, který získal 40 000 dolarů za objevení bezpečnostní chyby v bezpečnostním softwaru třetí strany, který může ovlivnit samotný Facebook. K nové výplatě rekordů došlo v loňském roce - v pohodě 50 000 dolarů na jednu osobu.



Ministerstvo obrany USA

Na jeden měsíc v roce 2016 DoD pod Obamovou administrativou doslova řekl: „Hack na Pentagon!“ Dva sta padesát hackerů šlo po chybách v systémech agentury a našlo 138 zranitelných míst, které stojí za uzavření. Celková výplata hackerům činila 150 000 USD - což podle ministra obrany Ashton Carterové bylo o 850 000 dolarů méně, než by stálo profesionální bezpečnostní audit.

V roce 2018 ministerstvo obrany rozšířilo hackathona o řadu nových programů pořádaných společností HackerOne, které se zaměřily na vládní systémy vlastněné armádou, letectvem, mariňákem a obranným cestovním systémem. Poskytli hackerům, kteří objevili asi 5 000 jedinečných zranitelností napříč vládními databázemi a webovými stránkami, 500 000 dolarů.



United Airlines: 1 milion Miles

Společnost United Airlines nedává peníze, ale dá vám míle zdarma. Hodně z nich. V loňském roce byla řada výzkumných pracovníků oceněna letovými kilometry, včetně Oliviera Bega, 19letého bezpečnostního výzkumníka z Nizozemska, který obdržel 1 milion kilometrů za nalezení asi 20 různých chyb v systémech letecké společnosti. ( Foto Nicolas Economou / NurPhoto prostřednictvím Getty Images )