7 ogromnih isplata bugova

Prve tehnološke tvrtke koje su ponudile buntove bugove - gdje se plaćanje nudi hakerima koji pronađu ranjivosti u kodu - bili su proizvođači web preglednika; Netscape je stvari pokrenuo 1995., a Mozilla je isto učinila i 2004. godine.

Cilj je navesti hakere da tvrtkama u riziku kažu o pogrešci prije nego što eksploat postane javno poznat. To je win-win za hakere i tvrtke - zašto blokirati negativce kada više plaćenih hakera može pomoći povećati sigurnost?

U posljednjih nekoliko godina, lov na bube postao je velik posao sa igračima poput Googlea, Facebooka, Yahooa i Microsofta, koji nude velike svote. Mnogo drugih - poput Tesle, Yelp, Reddit, Square, 1Password, i Uber - od tada su se pridružili zabavi, ali bundovi nisu ograničeni na tehnološke tvrtke. Financije, zdravstvo i vladini subjekti nude brojne obveze jer očajnički žele ostati ispred sljedećeg velikog kršenja zakona.

Ogrtači bugova postali su toliko uobičajena pojava da postoje posrednici poput Bugcrowd i HackerOne koji povezuju hakere s novcem. Kao što je detaljno navedeno u HackerOneovom izvještaju za 2018., tvrtka je samo za svoju 166.000 hakera u svojoj mreži platila više od 23 milijuna dolara, koji su riješili više od 72.000 ranjivosti. To je puno dobrog rada - puno manje novca od istinskog haka mogu koštati tvrtku u novcu i ugledu.

Prema izvješću, broj registriranih korisnika u samoj HackerOne zajednici eksplodirao je deset puta.

Naravno, postoje i neki negativni. Primjerice, Exodus Intelligence nudi veće prihode od velikih kompanija. Nakon toga tvrtkama prodaje pretplatu koja uključuje tu informaciju o programskoj pogrešci. To nije nužno loše - važno je pronaći ranjivosti. No, kako napominje Lisa Vaas iz Sophosa, "eksploatacijski brokeri mogu biti na strani dobrih momaka - recimo, antivirusnih dobavljača koji žele zaštititi ljude od novootkrivenih rupa" ili da bi mogli biti u ofanzivi, zainteresirani za korištenje neotkrivenih iskorištava za ciljanje samih sustava."

U nastavku pogledajte nekoliko najvećih isplata do sad u obilnom polju bugova obilja. Ako znate o nekim većim bogatstvima, javite nam u komentarima.

Zakletva / Verizon Media

U travnju 2018. organizacija ranije poznata kao Oath Inc. izbacila je 400.000 USD 40 učesnicima HackerOne-ovog uživo hakerskog događaja H1-415. Oath / Verizon Media, koji posjeduje Yahoo i AOL, kasnije je izdvojio još 400.000 USD na zasebnom događaju u studenom 2018. hakerima koji su identificirali 159 kritičnih sigurnosnih ranjivosti.

Nakon uspjeha ovih događanja zbog šteta, kompanija je kreirala konsolidirani program za bug buounty, koji je u 2018. godinu hakerima i istraživačima koji su otkrili bugove raznih prijetnji na više platformi isplatili 5 milijuna dolara. ( Foto: Noam Galai / Getty Images za Verizon Media )



Microsoft

Microsoft je prošle godine postigao prekretnicu s 2 milijuna američkih dolara isplate bugova, nakon čega je prestao objavljivati ​​podatke o pojedinačnim bogatstvima osim iznosa i težine slučaja. Ali najveća nagrada dodijeljena samo jednoj osobi za koju znamo je Vasilis Pappas, koji je 2012. godine primio 200.000 dolara kada je bio doktorand Sveučilišta Columbia. Pappas je poslao rješenja za problem programiranja povratka, koji su hakeri iskoristili da bi zaobišli sigurnosne kontrole, i stvorio kBouncer, program koji ublažava sve što nalikuje ROP-u.



Google

Googleov program nagrađivanja ranjivosti datira iz 2010. Od tada je isplaćeno više od 15 milijuna dolara, od čega je u 2018. dodijeljeno 3, 4 milijuna dolara (od čega se 1, 7 milijuna dolara fokusiralo na pogreške u Androidu i Chromeu). Najveća pojedinačna isplata prošle godine bila je uloga od 41.000 dolara neodređenom istraživaču. 19-godišnji Ezequiel Pereira iz Urugvaja dobio je 36.000 dolara za otkrivanje problema s daljinskim izvršenjem koda u Googleovoj konzoli Cloud Platform.



HackerOne Milijunaš

Kao da Pereira-ova priča nije dovoljna, moramo spomenuti još jednog 19-godišnjeg Južnoamerikanca koji ubija igru ​​bugova: Argentinac Santiago Lopez, prva osoba koja je zaradila milijun dolara zarade na platformi HackerOne-a. Samohrani haker kaže da je započeo gledajući YouTube videozapise i čitajući blogove, ali ono što je pokrenulo njegovo zanimanje za hakiranje? Što drugo? Film iz Hakera iz 1995. godine. ( Foto: United Artists / Getty Images )



Facebook

Za tvrtku koja je tijekom godina doživjela nekoliko sigurnosnih propusta, nije iznenađujuće da bi Facebook želio pronaći i rješavati rupe i iskorištavanja u svom kodu. Program bunty programa društvenih mreža isplatio je 7, 5 milijuna dolara od svog početka 2011. godine. Prethodni rekord najveće pojedinačne isplate na Facebooku pripao je Andreju Leonovu, ruskom istraživaču sigurnosti, koji je dobio 40.000 dolara zbog otkrića sigurnosnog propusta u sigurnosnom softveru treće strane koji mogao utjecati na sam Facebook. Nova rekordna isplata dogodila se prošle godine - hladnih 50 000 američkih dolara.



Američko Ministarstvo obrane

Za mjesec dana u 2016., DoD pod Obaminom administracijom doslovno je govorio: "Hack Pentagon!" Dvije stotine pedeset hakera nastavilo je greške u sustavima agencije i otkrili 138 ranjivosti koje se vrijede zatvoriti. Ukupna isplata hakerima bila je 150.000 dolara - što je tadašnja ministrica obrane Ashton Carter rekla da je oko 850.000 dolara manja nego što bi koštalo profesionalnu reviziju sigurnosti.

Godine 2018. Ministarstvo obrane proširilo je hackathon na niz novih programa čiji je domaćin HackerOne, a koji su usmjereni na vladine sustave u vlasništvu vojske, zrakoplovnih snaga, marinaca i putničkog sustava obrane. Kombinirali su 500.000 dolara hakeri koji su otkrili oko 5.000 jedinstvenih ranjivosti u vladinim bazama podataka i web lokacijama.



United Airlines: milion milja

United Airlines ne daje novac, ali će vam dati besplatne milje. Puno njih. Prošle su godine brojni istraživači nagrađeni letećim kilometrima, uključujući Oliviera Bega, 19-godišnjeg istraživača sigurnosti iz Nizozemske koji je dobio milion milja za pronalazak oko 20 različitih bugova u sustavima zrakoplovne tvrtke. ( Foto Nicolas Economou / NurPhoto preko Getty Images )