Вы нашли недостаток в системе или продукте? Хотите узнать, как этичные хакеры зарабатывают деньги? Вот тут-то и приходят на помощь ‘баг баунти’
В любом программном обеспечении есть баги, или недостатки, которые вызывают проблемы. Они варьируются от банальных проблем, которые никак не влияют на производительность программного обеспечения, до серьезных уязвимостей в системе безопасности
Ошибки бывает трудно обнаружить, поэтому многие технологические компании имеют программы вознаграждения за ошибки. Но что именно представляют собой программы вознаграждения за ошибки? Как они работают и как они помогают повысить безопасность продукта?
Как работают программы вознаграждения за ошибки
Компании запускают программы ‘bug bounty’, чтобы стимулировать хакеров-‘белых шляп’ к поиску дыр в безопасности и подобных уязвимостей в программном обеспечении. Как правило, для тех, кто обнаружит ошибку, независимо от того, насколько незначительной она может показаться обычному человеку, предусмотрен более чем приличный денежный приз
Программы ‘bug bounty’ есть не только у маленьких, перспективных компаний. На самом деле, большинство технологических гигантов, включая Google, Microsoft, Facebook и Apple, имеют такие программы. Подробности об этих программах обычно можно найти на официальном сайте компании. Чаще всего существует несколько уровней или категорий. Но в принципе, чем значительнее ошибка, тем выше вознаграждение
Как только хакер в белой шляпе обнаруживает ошибку, он подает подробный отчет о раскрытии информации с объяснением того, что он нашел. Затем инженеры компании рассматривают и изучают представленную информацию, и если выводы исследователя оказываются точными и полезными, он получает уведомление и денежное вознаграждение
Эта система работает как для компаний, так и для независимых исследователей. С точки зрения любой компании, лучше, если ошибку обнаружит этичный хакер, чем угрожающий субъект, который, скорее всего, будет использовать ее до того, как она будет исправлена, что может привести к многомиллионным убыткам. С другой стороны, хакеры зарабатывают неплохие деньги, участвуя в программах ‘bug bounty’ — некоторые даже зарабатывают полный рабочий день, обнаруживая уязвимости в программном обеспечении
Примеры программ вознаграждения за ошибки, улучшающих безопасность программного обеспечения
Хорошо знать, как работают программы ‘баг баунти’ в теории, но давайте посмотрим на несколько реальных примеров, когда компании выплачивали огромные суммы хакерам-белошляпникам
В феврале 2022 года децентрализованная блокчейн-мостовая платформа Wormhole в сотрудничестве с платформой Immunefi запустила баунти-программу, предлагающую $10 млн любому, кто обнаружит критическую ошибку безопасности. Вскоре хакер в белой шляпе под псевдонимом satya0x обнаружил такую ошибку. Как объяснил Immunefi в сообщении на Medium, ошибка могла привести к блокировке средств пользователей, поэтому satya0x получил 10 миллионов долларов за ее раскрытие
Также в феврале 2022 года криптовалютная биржа Coinbase выплатила вознаграждение в размере 250 000 долларов США независимому исследователю за обнаружение серьезного изъяна в торговом интерфейсе платформы
Aurora Labs, компания, стоящая за виртуальной машиной Aurora Ethereum (ETH), в апреле 2022 года выплатила баунти в размере 6 миллионов долларов. Эти деньги получил этичный хакер, известный под ником pwning.eth, после того как он обнаружил уязвимость, которая позволила бы угрожающим субъектам майнить бесконечное количество криптовалюты Ethereum в механизме Aurora
Канадский гигант электронной коммерции Shopify, тем временем, побил свой собственный рекорд в 2021 году, когда его баунти-выплаты составили 1 миллион долларов. В том году компания получила в общей сложности 3 000 сообщений об ошибках от хакеров-‘белых шляп’ со всего мира. В ответ на это Shopify увеличила максимальное вознаграждение до 100 000 долларов
Эти цифры могут показаться абсурдно высокими, но они не идут ни в какое сравнение с тем количеством денег и данных, которые киберпреступники могли бы получить, обнаружив уязвимости. Компания Wormhole назначила вознаграждение в размере 10 миллионов долларов только после того, как потеряла 320 миллионов долларов в результате взлома.Aurora Labs вознаградила хакера в белой шляпе, потому что 6 миллионов долларов меркнут по сравнению с потерей 240 миллионов долларов ETH, а Coinbase и Shopify, вероятно, сэкономили десятки миллионов, выплатив компенсацию добросовестным исследователям
5 лучших высокооплачиваемых баунти-программ
Поскольку компании действительно экономят кучу денег, создавая программы вознаграждения за баги, существует множество вариантов, из которых исследователи могут выбирать. Если вы являетесь хакером в белой шляпе или хотите им стать, вот пять высокооплачиваемых программ по борьбе с ошибками, которые стоит рассмотреть
1.Apple Security Bounty
Apple Security Bounty – одна из самых популярных в мире программ по борьбе с ошибками. Вознаграждения варьируются от $5 000 за обнаружение уязвимостей экрана блокировки до $2 млн за ‘дыры’ в системе безопасности, которые позволят субъекту угрозы обойти защиту режима блокировки. Чтобы отправить отчет об ошибке (который должен быть тщательным и подробным), достаточно войти в систему под своим Apple ID
2. Программа Microsoft Bug Bounty Program
Еще одна популярная программа по борьбе с ошибками проводится компанией Microsoft, которая предлагает широкий спектр вознаграждений. Как и программа Apple, программа Microsoft разделена на десятки различных категорий. Например, если вы обнаружите уязвимость в фреймворке Microsoft.NET, вы можете рассчитывать на вознаграждение до $15 000. Но если вы обнаружите уязвимость в Microsoft Hyper-V, вы можете получить вознаграждение до $250 000
3. Программа вознаграждений Samsung
Программа Samsung Rewards Program сосредоточена вокруг мобильных продуктов компании. Она имеет довольно строгие правила, поэтому обязательно внимательно ознакомьтесь с ними перед отправкой ошибки. Также обратите внимание, что инженеры компании принимают во внимание только те ошибки, которые влияют на безопасность устройств Samsung. Вознаграждение составляет от 200 до 200 000 долларов США
4. Охотники за ошибками Google
В программе вознаграждения Google Bug Hunters вознаграждение достигает 30 000 долларов. Охотники за ошибками, как часто называют хакеров-‘белых шляп’, могут сообщать об ошибках в Gmail, YouTube, BlogSpot и других сервисах Google. У этой программы очень активное сообщество и собственный онлайн-университет, который может стать отличным ресурсом для начинающих исследователей
5.Meta Bug Bounty
Программа Meta Bounty охватывает Facebook, Instagram, WhatsApp, Messenger и множество других продуктов. Чтобы претендовать на вознаграждение (минимальная сумма – $500), необходимо найти уязвимости, представляющие угрозу безопасности или конфиденциальности, и соответствовать четко определенным требованиям. Все достоверные сообщения получают ответ. Если несколько охотников обнаруживают одну и ту же проблему, вознаграждение получает тот, кто первым подал отчет
Программы Bug Bounty: Лучшее из краудсорсинговой безопасности
Программы ‘баг баунти’ – это лучшее, что есть в краудсорсинговой безопасности. И от них выигрывают не только технологические компании и исследователи кибербезопасности— выигрывают все, включая потребителей
Для кого-то охота на жучков – это хобби, а для кого-то – полноценная карьера. Если вы относитесь к последней категории или стремитесь к этому, есть множество онлайн-курсов, на которые стоит обратить внимание
Комментировать