7 Malaking bug na pag-aayos ng bug

Ang mga unang kumpanya ng tech na nag-aalok ng mga bounties ng bug - kung saan inaalok ang pagbabayad sa mga hacker na nakakahanap ng mga kahinaan sa code - ay mga gumagawa ng web browser; Sinipa ni Netscape ang mga bagay noong 1995 at ganoon din ang ginawa ni Mozilla noong 2004.

Ang layunin ay upang makakuha ng mga hacker na sabihin sa isang peligro na kumpanya tungkol sa isang bug bago ang pagsasamantala ay kilala sa publiko. Ito ay isang panalo-win para sa mga hacker at mga negosyo - bakit harangan ang mga masasamang tao kapag ang mas mersenaryong mga hacker ay makakatulong sa baybayin ang seguridad?

Sa mga nagdaang taon, ang pangangaso ng bug ay naging malaking negosyo sa mga manlalaro tulad ng Google, Facebook, Yahoo, at Microsoft lahat na nag-aalok ng malaking kabuuan. Marami sa iba pa - tulad ng Tesla, Yelp, Reddit, Square, 1Password,, at Uber - mula nang sumali sa partido, ngunit ang mga bounties ng bug ay hindi limitado sa mga kumpanya ng tech. Ang mga pinansyal, pangangalaga sa kalusugan, at mga ahensya ng gobyerno ay nag-aalok ng mga bounties dahil desperado silang manatili nang mas maaga sa susunod na pangunahing paglabag.

Ang mga bounties ng bug ay naging pangkaraniwan na ang mga broker ng third-party tulad ng Bugcrowd at HackerOne ay umiiral upang ikonekta ang mga hacker na may malaking halaga. Tulad ng detalyado sa 2018 HackerOne Report, ang kumpanya ay nagbayad ng higit sa $ 23 milyon sa 166, 000 hacker sa kanyang network lamang, na naayos ang higit sa 72, 000 na kahinaan. Iyon ay maraming mabuting gawain - para sa mas kaunting pera kaysa sa isang tunay na hack ay maaaring gastos sa isang kumpanya sa pera at reputasyon.

Ang bilang ng mga nakarehistrong gumagamit sa komunidad ng HackerOne lamang ay sumabog nang sampung beses, ayon sa ulat.

Naturally, mayroon ding ilang mga negatibo. Halimbawa, ang Intelligence ng Exodo, nag-aalok ng mas mataas na mga halaga kaysa sa mga malalaking kumpanya. Nagbebenta ito pagkatapos ng isang subscription sa mga kumpanya na kasama ang impormasyong bug. Iyon ay hindi kinakailangan masama - ang paghahanap ng mga kahinaan ay mahalaga. Ngunit tulad ng tala ni Sophos 'Lisa Vaas, "sinasamantala ang mga customer ng mga broker ay maaaring nasa panig ng mga mabubuting lalaki - sabihin, ang mga vendor ng antivirus na nais protektahan ang mga tao mula sa mga bagong natuklasang mga butas - o maaari silang maging nakakasakit, interesado na gumamit ng hindi natuklasang nagsasamantala sa mga target na sistema mismo. "

Sa ibaba, tingnan ang ilan sa mga pinakamalaking payout pa sa masaganang larangan ng mga bounties ng bug. Kung alam mo ang tungkol sa ilang mga mas malaking bounties, ipaalam sa amin sa mga komento.

Panunumpa / Verizon Media

Noong Abril 2018, ang samahan na dati nang kilala bilang Oath Inc. ay naglalagyan ng $ 400, 000 hanggang 40 na mga kalahok sa live na pag-hack ng H1-415 ng HackerOne. Ang Oath / Verizon Media, na nagmamay-ari ng Yahoo at AOL, ay naglaon ng ibang $ 400K sa isang hiwalay na kaganapan noong Nobyembre 2018 sa mga hacker na nakilala ang 159 kritikal na kahinaan sa seguridad.

Matapos ang tagumpay ng mga pangyayaring ito ng mga bughaw, ang kumpanya ay lumikha ng isang pinagsama-samang programa ng bounty ng bug, na nagbayad ng $ 5 milyon sa 2018 sa mga hacker at mananaliksik na natagpuan ang mga bug ng iba't ibang mga antas ng pagbabanta sa maraming mga platform. ( Larawan ni Noam Galai / Mga Larawan ng Getty para sa Verizon Media )



Microsoft

Naabot ng Microsoft ang isang milestone noong nakaraang taon na may $ 2 milyon sa bug payout, pagkatapos nito ay tumigil sa paglabas ng impormasyon tungkol sa mga indibidwal na mga halaga maliban sa mga halaga at kalubhaan ng kaso. Ngunit ang pinakamalaking bounty na iginawad sa isang solong tao na nalalaman natin ay ang Vasilis Pappas, na nakatanggap ng $ 200, 000 noong 2012 nang siya ay isang mag-aaral sa PhD sa University. Ang mga Pappas ay nagsumite ng mga solusyon para sa isang problema sa Programming ng Return-Orient na ginamit ng mga hacker upang makakuha ng mga kontrol sa seguridad, at lumikha ng kBouncer, isang programa na nagpapagaan ng anumang bagay na parang ROP.



Google

Ang Vulnerability Rewards Program ng Google ay nagsimula noong 2010. Mula nang nagbayad ito ng higit sa $ 15 milyon, $ 3.4 milyon na kung saan iginawad sa 2018 (at $ 1.7 milyon na nakatuon sa mga bug sa Android at Chrome). Ang pinakamalaking payout noong nakaraang taon ay isang malaking halaga ng $ 41, 000 sa isang hindi natukoy na mananaliksik. Sa mga bounties na pampubliko, ang 19-taong-gulang na si Ezequiel Pereira mula sa Uruguay ay tumanggap ng $ 36, 000 para sa pagtuklas ng isang bug na Pag-eksa ng Code sa Pagpapatupad sa Cloud Platform ng Google.



HackerOne Millionaire

Tulad ng kung hindi sapat ang kwento ni Pereira, dapat nating banggitin ang isa pang 19-taong-gulang na South American na pumatay sa larong pang-bugso: ang Santiago Lopez ng Argentina, ang unang tao na nangungunang $ 1 milyon sa kita sa platform ng HackerOne. Sinasabi ng hacker na itinuro sa sarili na sinimulan niya sa pamamagitan ng panonood ng mga video sa YouTube at pagbabasa ng mga blog sa kanyang sarili, ngunit ang bagay na tumalon sa kanyang interes sa pag-hack? Ano pa? Ang 1995 mga hacker ng pelikula. ( Larawan ni United Artists / Getty Images )



Facebook

Para sa isang kumpanya na nakaranas ng ilang mga lapses ng seguridad sa mga nakaraang taon, hindi lubos na nakakagulat na ang Facebook ay sabik na hanapin at matugunan ang mga butas at pagsasamantala sa code nito. Ang programa ng bug ng bugso ng social network ay nagbayad ng $ 7.5 milyon mula noong pagsisimula nito noong 2011. Ang naunang tala ng Facebook ng pinakamataas na solong payout ay napunta kay Andrew Leonov, isang tagasaliksik ng seguridad ng Russia na iginawad ng $ 40, 000 para sa pagtuklas ng isang kapintasan ng seguridad sa isang third-party na software ng seguridad na maaaring makaapekto sa Facebook mismo. Ang bagong record payout ay nangyari noong nakaraang taon - isang cool na $ 50, 000 sa isang tao.



Kagawaran ng Depensa ng Estados Unidos

Para sa isang buwan sa 2016, ang DoD sa ilalim ng pamamahala ng Obama ay literal na nagsabi: "Hack the Pentagon!" Dalawang daan at limampung hackers ang sumunod sa mga bug sa mga sistema ng ahensya, at natagpuan ang 138 kahinaan na nagkakahalaga ng pagsasara. Ang kabuuang pagbabayad sa mga hacker ay $ 150, 000 - na pagkatapos sinabi ng Kalihim ng Depensa na si Ashton Carter ay humigit-kumulang $ 850, 000 mas mababa kaysa sa magiging gastos upang makakuha ng isang propesyonal na pagsusuri sa seguridad.

Noong 2018, pinalawak ng Defense Department ang hackathon sa isang pagpatay sa mga bagong programa na naka-host sa pamamagitan ng HackerOne, na target ang mga sistema ng gobyerno na pag-aari ng Army, Air Force, Marines, at Defense Travel System. Binigyan nila ng isang pinagsamang $ 500, 000 sa mga hacker na natuklasan ang tungkol sa 5, 000 natatanging kahinaan sa buong database ng gobyerno at website.



United Airlines: 1 Milyong Milya

Ang United Airlines ay hindi nagbibigay ng pera, ngunit bibigyan ka nito ng libreng milya. Maraming sa kanila. Ang isang bilang ng mga mananaliksik ay iginawad ng flyer milya noong nakaraang taon, kasama si Olivier Beg, isang 19-taong-gulang na security researcher mula sa Netherlands na tumanggap ng 1 milyong milya para sa paghahanap ng halos 20 iba't ibang mga bug sa mga sistema ng airline. ( Larawan ni Nicolas Economou / NurPhoto sa pamamagitan ng Getty Images )