Indholdsfortegnelse:
- Oath / Verizon Media
- Microsoft
- HackerOne Millionaire
- Det amerikanske forsvarsministerium
- United Airlines: 1 million miles
Video: United States Constitution · Amendments · Bill of Rights · Complete Text + Audio (Oktober 2024)
De første teknologivirksomheder, der tilbyder bugbeløb - hvor betaling tilbydes til hackere, der finder sårbarheder i koden - var webbrowserproducenter; Netscape startede tingene i 1995, og Mozilla gjorde det samme i 2004.
Målet er at få hackere til at fortælle et udsat firma om en fejl, inden udnyttelsen bliver offentligt kendt. Det er en win-win for hackere og virksomheder - hvorfor blokere de onde når de mere lejesoldater hackere kan hjælpe med at styrke sikkerheden?
I de senere år er bugjagt blevet stor forretning med spillere som Google, Facebook, Yahoo og Microsoft, der alle tilbyder store summer. Masser af andre - som Tesla, Yelp, Reddit, Square, 1Password og Uber - er siden tiltrådt til festen, men bugbelønninger er ikke begrænset til tech-virksomheder. Finans-, sundheds- og regeringsenheder tilbyder vederlag, fordi de er desperate efter at komme foran det næste store brud.
Bug-fordele er blevet så almindelige, at tredjepartsmæglere som Bugcrowd og HackerOne findes for at forbinde hackere med dusørpenge. Som beskrevet i HackerOnes Hacker-rapport 2018, har virksomheden udbetalt over $ 23 millioner til de 166.000 hackere i dets netværk, der har rettet over 72.000 sårbarheder. Det er meget godt arbejde - for meget mindre penge end et ægte hack kan koste et firma i penge og omdømme.
Antallet af registrerede brugere i HackerOne-samfundet alene er eksploderet ti gange, ifølge rapporten.
Der er naturligvis også nogle negativer. Exodus Intelligence tilbyder for eksempel højere beløb end de store virksomheder. Derefter sælger et abonnement til virksomheder, der inkluderer denne buginfo. Det er ikke nødvendigvis dårligt - at finde sårbarheder er vigtig. Men som Sophos 'Lisa Vaas bemærker, at "udnytte mæglernes kunder kunne være på siden af de gode fyre - siger antivirusleverandører, der ønsker at beskytte folk mod nyligt opdagede huller - eller at de kunne være offensive og interesserede i at bruge ikke afsløret udnytter til selv at målrette systemer."
Nedenfor kan du tage et kig på et par af de største udbetalinger, der endnu er gjort inden for det bugnende felt med bugbelønninger. Hvis du kender til nogle større beløb, så fortæl os det i kommentarerne.
Oath / Verizon Media
I april 2018 udskudte organisationen, der tidligere var kendt som Oath Inc., $ 400.000 til 40 deltagere i HackerOnes live-hacking H1-415-begivenhed. Oath / Verizon Media, der ejer Yahoo og AOL, uddelte senere yderligere $ 400K ved en separat begivenhed i november 2018 til hackere, der identificerede 159 kritiske sikkerhedssårbarheder.
Efter succesen med disse fejl i bounty-begivenheder, skabte virksomheden et konsolideret bug-bounty-program, der udbetalte 5 millioner dollars i 2018 til hackere og forskere, der fandt fejl med forskellige trusselsniveauer på tværs af flere platforme. ( Foto af Noam Galai / Getty Images til Verizon Media )
Microsoft
Microsoft nåede en milepæl sidste år med $ 2 mio. I udbetalinger til bug-bounty, hvorefter den stoppede med at frigive oplysninger om individuelle bounties udover beløbene og sagsgraden. Men den største gave, der blev tildelt en enkelt person, som vi kender til, er Vasilis Pappas, der modtog $ 200.000 i 2012, da han var ph.d.-studerende ved Columbia University. Pappas indsendte løsninger til et returorienteret programmeringsproblem, som hackere brugte til at omgå sikkerhedskontrol, og skabte kBouncer, et program, der mildner alt, der ligner ROP.
HackerOne Millionaire
Som om Pereiras historie ikke er nok, må vi nævne en anden 19-årig sydamerikaner, der dræber bugbounty-spillet: Argentinas Santiago Lopez, den første person, der har en $ 1 million indtjening på HackerOne's platform. Den selvlærede hacker siger, at han begyndte med at se YouTube-videoer og læse blogs på egen hånd, men den ting, der sprang hans interesse for hacking? Hvad ellers? 1995-filmen Hackere . ( Foto af United Artists / Getty Images )
For et firma, der har oplevet et par sikkerhedsmæssige bortfalder gennem årene, er det ikke helt overraskende, at Facebook ville være ivrig efter at lokalisere og adressere smuthuller og udnyttelser i sin kode. Det sociale netværks bug-bounty-program har udbetalt $ 7, 5 millioner siden starten i 2011. Facebooks tidligere rekord med den højeste enkeltudbetaling gik til Andrew Leonov, en russisk sikkerhedsforsker, der blev tildelt $ 40.000 for at opdage en sikkerhedsfejl i en tredjeparts sikkerhedssoftware, som kan påvirke Facebook selv. Den nye rekordudbetaling skete sidste år - en cool $ 50.000 til en person.
Det amerikanske forsvarsministerium
I en måned i 2016 sagde DoD under Obama-administrationen bogstaveligt: "Hack Pentagon!" To hundrede og halvtreds hackere gik efter fejl i agenturets systemer og fandt 138 sårbarheder værd at lukke op. Den samlede udbetaling til hackere var $ 150.000 - hvilket dengang forsvarsminister Ashton Carter sagde var omkring $ 850.000 mindre end det ville have kostet at få en professionel sikkerhedsrevision.
I 2018 udvidede forsvarsdepartementet hackathon til en række nye programmer, der var vært af HackerOne, der målrettede regeringssystemer, der ejes af hæren, luftvåben, marinesoldater og forsvarsrejsesystemet. De tildelte $ 500.000 til hackere, der opdagede omkring 5.000 unikke sårbarheder på tværs af regeringsdatabaser og websteder.
United Airlines: 1 million miles
United Airlines giver ikke ud kontanter, men det giver dig gratis miles. Mange af dem. Et antal forskere blev tildelt flyer miles sidste år, herunder Olivier Beg, en 19 år gammel sikkerhedsforsker fra Holland, der modtog 1 million miles for at finde omkring 20 forskellige fejl i flyselskabets systemer. ( Foto af Nicolas Economou / NurPhoto via Getty Images )
