7 Огромные выплаты за баги

Первыми технологическими компаниями, предложившими множество багов, когда хакерам, которые находят уязвимости в коде, предлагается оплата, были производители веб-браузеров; Netscape начал свою работу в 1995 году, а Mozilla сделала то же самое в 2004 году.

Цель состоит в том, чтобы заставить хакеров сообщить компании, подверженной риску, об ошибке до того, как эксплойт станет общеизвестным. Это беспроигрышный вариант для хакеров и бизнеса - зачем блокировать плохих парней, когда более наемные хакеры могут помочь укрепить безопасность?

В последние годы охота за ошибками стала крупным бизнесом с такими игроками, как Google, Facebook, Yahoo и Microsoft, которые предлагают большие суммы. Многие другие, такие как Tesla, Yelp, Reddit, Square, 1Password и Uber, с тех пор присоединились к партии, но количество ошибок не ограничивается техническими компаниями. Финансы, здравоохранение и государственные учреждения предлагают вознаграждения, потому что они отчаянно пытаются опередить следующее серьезное нарушение.

Награды за ошибки стали настолько обычным явлением, что сторонние брокеры, такие как Bugcrowd и HackerOne, существуют, чтобы связать хакеров с наградными деньгами. Как подробно описано в отчете HackerOne от HackerOne за 2018 год, компания выплатила более 23 миллионов долларов только 166 000 хакеров в своей сети, которые исправили более 72 000 уязвимостей. Это очень хорошая работа - за гораздо меньшие деньги, чем настоящий хакер, может стоить компании денег и репутации.

Согласно отчету, число зарегистрированных пользователей только в сообществе HackerOne увеличилось в десять раз.

Естественно, есть и некоторые недостатки. Например, Exodus Intelligence предлагает более высокие вознаграждения, чем крупные компании. Затем он продает подписку на компании, которые включают эту информацию об ошибке. Это не обязательно плохо - важно найти уязвимости. Но, как отмечает Лиза Ваас из Sophos, «клиенты брокеров эксплойтов могут быть на стороне хороших парней - скажем, поставщиков антивирусов, которые хотят защитить людей от недавно обнаруженных дыр - или что они могут быть в наступлении, заинтересованные в использовании нераскрытого» эксплойты для самих систем ".

Ниже, взгляните на некоторые из самых больших выплат, пока еще в изобилии. Если вы знаете о некоторых больших наградах, сообщите нам об этом в комментариях.

Клятва / Verizon Media

В апреле 2018 года организация, ранее известная как Oath Inc., выплатила 400 000 долларов 40 участникам HackerOne в прямом эфире на H1-415. Присяга / Verizon Media, которой принадлежат Yahoo и AOL, позже раздавала еще 400 тысяч долларов на отдельном мероприятии в ноябре 2018 года хакерам, которые выявили 159 критических уязвимостей безопасности.

После успеха этих событий за выплату ошибок компания создала консолидированную программу по выплате ошибок, которая в 2018 году выплатила 5 миллионов долларов хакерам и исследователям, обнаружившим ошибки с различными уровнями угроз на разных платформах. ( Фото Ноама Галаи / Getty Images для Verizon Media )



Microsoft

В прошлом году Microsoft достигла рубежа в 2 миллиона долларов в виде выплат за вознаграждение за ошибку, после чего прекратила выпускать информацию об отдельных вознаграждениях, помимо сумм и серьезности дела. Но самая большая награда, присуждаемая одному человеку, о котором мы знаем, это Василис Паппас, который получил 200 000 долларов в 2012 году, когда он был аспирантом Колумбийского университета. Паппас представил решения для проблемы возврата-ориентированного программирования, которые хакеры использовали для обхода мер безопасности, и создал kBouncer, программу, которая смягчает все, что похоже на ROP.



Google

Программа Google Vulnerability Rewards началась в 2010 году. С тех пор она выплатила более 15 миллионов долларов, из которых 3, 4 миллиона долларов было присуждено в 2018 году (и 1, 7 миллиона долларов - на ошибки в Android и Chrome). Самая крупная выплата в прошлом году была вознаграждением в размере 41 000 долларов США неуказанному исследователю. 19-летний Эзекиль Перейра из Уругвая получил награду в размере 36 000 долларов за обнаружение ошибки удаленного выполнения кода в консоли Google Cloud Platform.



HackerOne Millionaire

Как будто истории Перейры недостаточно, мы должны упомянуть еще одного 19-летнего южноамериканца, который убивает игру с наградами за ошибки: аргентинца Сантьяго Лопес, первого человека, получившего 1 миллион долларов на платформе HackerOne. Хакер-самоучка говорит, что начал с просмотра видео на YouTube и самостоятельного чтения блогов, но что вызвало у него интерес к взлому? Что еще? Фильм 1995 года Хакеры . ( Фото United Artists / Getty Images )



facebook

Для компании, которая несколько лет теряла безопасность, неудивительно, что Facebook будет стремиться найти и устранить лазейки и эксплойты в своем коде. С момента своего создания в 2011 году программа по вознаграждению за ошибки в социальной сети выплатила 7, 5 млн. Долларов. Предыдущий рекорд самой высокой разовой выплаты в Facebook получил Эндрю Леонов, российский исследователь в области безопасности, которому было присуждено 40 000 долларов за обнаружение уязвимости в стороннем программном обеспечении безопасности, которое может повлиять на сам Facebook. Новая рекордная выплата произошла в прошлом году - 50 000 долларов на одного человека.



Министерство обороны США

В течение одного месяца в 2016 году Министерство обороны при администрации Обамы буквально говорило: «Взломай Пентагон!» Двести пятьдесят хакеров обнаружили ошибки в системах агентства и обнаружили 138 уязвимостей, которые стоит закрыть. Общая сумма выплат хакерам составила 150 000 долларов, а тогдашний министр обороны Эштон Картер сказал, что это примерно на 850 000 долларов меньше, чем стоило бы пройти профессиональный аудит безопасности.

В 2018 году Министерство обороны расширило хакатон до множества новых программ, организованных HackerOne, предназначенных для правительственных систем, принадлежащих армии, военно-воздушным силам, морским пехотинцам и оборонной туристической системе. Они присудили хакерам 500 000 долларов, которые обнаружили около 5000 уникальных уязвимостей в государственных базах данных и на веб-сайтах.



United Airlines: 1 миллион миль

United Airlines не выдаёт наличные, но дает вам бесплатные мили. Много их. В прошлом году ряд исследователей были награждены премией за участие, в том числе Оливье Бег, 19-летний исследователь безопасности из Нидерландов, который получил 1 миллион миль за обнаружение около 20 различных ошибок в системах авиакомпании. ( Фото Николаса Эконому / NurPhoto через Getty Images )