7 величезних виплат виграшних помилок

Першими технологічними компаніями, які запропонували набої помилок - де пропонується оплата хакерам, які виявили вразливості в коді, були виробники веб-браузерів; Netscape розпочав справи в 1995 році, а Mozilla зробив те саме в 2004 році.

Мета - змусити хакерів повідомити компанії про ризик про помилку до того, як експлуатація стане загальновідомою. Це безпрограшна робота для хакерів і бізнесу - навіщо блокувати поганих хлопців, коли більше корисливих хакерів можуть допомогти підвищити безпеку?

В останні роки полювання на помилок стало великим бізнесом з такими гравцями, як Google, Facebook, Yahoo та Microsoft, які пропонують великі суми. З тих пір приєдналися чимало інших, як Tesla, Yelp, Reddit, Square, 1Password, та Uber, однак помилки з технічними компаніями не обмежуються. Фінанси, охорона здоров’я та державні установи пропонують великі вигоди, тому що вони відчайдушно намагаються випереджати наступне серйозне порушення.

Баунти-баунти стали настільки звичними, що існують сторонні брокери, такі як Bugcrowd та HackerOne, щоб з'єднати хакерів із грошима. Як детально викладено у звіті про хакерські послуги HackerOne за 2018 рік, компанія виплатила понад 23 мільйони доларів лише 166 000 хакерам у своїй мережі, які виправили понад 72 000 уразливостей. Це багато хорошої роботи - адже набагато менше грошей, ніж справжній хакер може коштувати компанії грошима та репутацією.

Згідно з повідомленням, кількість зареєстрованих користувачів лише у спільноті HackerOne зросла вдесятеро.

Природно, є і деякі негативи. Наприклад, Exodus Intelligence пропонує більший приріст, ніж великі компанії. Потім він продає передплату компаніям, що включає цю інформацію про помилку. Це не обов'язково погано - важливо знайти вразливості. Але, як зазначає Ліза Ваас Софос, "замовники експлуатованих брокерів можуть бути на боці хороших хлопців - скажімо, антивірусних продавців, які хочуть захистити людей від нещодавно виявлених дір", або щоб вони могли перейти в наступ, зацікавлених у використанні нерозкритих експлуатує для самих цільових систем ".

Нижче, подивіться на декілька найбільших виплат поки що в рясному полі жуків-клопів. Якщо ви знаєте про деякі більші щедрості, повідомте нас у коментарях.

Присяга / Verizon Media

У квітні 2018 року організація, раніше відома як Oath Inc., вилучила 400 000 доларів 40 учасникам у хакерському заході H1-415 в прямому ефірі HackerOne. Oath / Verizon Media, яка належить Yahoo та AOL, пізніше виділила ще 400 000 доларів на окремий захід у листопаді 2018 року хакерам, які виявили 159 критичних вразливих місць безпеки.

Після успіху в цих подіях з приводу помилок компанія створила консолідовану програму з виправлення помилок, яка виплатила в 2018 році 5 мільйонів доларів хакерам та дослідникам, які знайшли помилки різного рівня загрози на різних платформах. ( Фото Ноама Галая / Гетьті Зображення для Verizon Media )



Microsoft

У минулому році Microsoft досягла значної межі, отримавши виплати за помилки у розмірі 2 мільйонів доларів, після чого припинила видавати інформацію про окремі принади, окрім сум і тяжкості справи. Але найбільша винагорода, яка присуджується одній людині, про яку ми знаємо, - це Василіс Паппас, який отримав 200 000 доларів у 2012 році, коли був докторантом університету Колумбії. Паппас подав рішення для проблеми програмування, орієнтованої на повернення, яку хакери використовували для обігу засобів безпеки, і створив kBouncer - програму, яка пом'якшує все, що схоже на ROP.



Google

Програма нагород вразливості від Google датується 2010 роком. З того часу вона виплатила понад 15 мільйонів доларів, з яких в 2018 році було виділено 3, 4 мільйона доларів (з яких 1, 7 мільйона доларів були зосереджені на помилках в Android та Chrome). Найбільша виплата в минулому році була щедрою в розмірі 41 000 доларів для невказаного дослідника. З публічних приємностей 19-річний Езекіль Перейра з Уругваю отримав 36 000 доларів за виявлення помилки у віддаленому виконанні коду на консолі хмарної платформи Google.



Мільйонер HackerOne

Як ніби історія Перейри недостатня, ми мусимо згадати ще одного 19-річного південноамериканця, який вбиває гру з помилками: Аргентинський Сантьяго Лопес, перший чоловік, який заробив 1 мільйон доларів заробітку на платформі HackerOne. Хакер-самоучка каже, що розпочав свою роботу, переглядаючи відео YouTube і читаючи блоги самостійно, але те, що стримувало його інтерес до злому? Що ще? Фільм Хакери 1995 року. ( Фото об'єднаних художників / Getty Images )



Facebook

Для компанії, яка протягом багатьох років зазнала декількох пропусків безпеки, не зовсім дивно, що Facebook хотів би знайти та вирішити прорізи та подробиці у своєму коді. Програма збору помилок у соціальній мережі виплатила 7, 5 мільйонів доларів США з моменту створення в 2011 році. Попередній рекорд найвищої виплати в Facebook зафіксував Андрій Леонов, російський дослідник з питань безпеки, який отримав 40 000 доларів за виявлення недоліків безпеки у сторонній програмі безпеки, яка може вплинути на сам Facebook. Новий рекорд виплат стався минулого року - крутих 50 000 доларів на одну людину.



Міністерство оборони США

Протягом одного місяця у 2016 році Міністерство охорони здоров'я при адміністрації Обами буквально сказало: "Зламіть Пентагон!" Двісті п’ятдесят хакерів пішли на помилки в системах агентства і виявили 138 уразливостей, які варто закрити. Загальна виплата хакерам склала 150 000 доларів - що тоді міністр оборони Ештон Картер зазначила, що приблизно на 850 000 доларів США менше, ніж коштуватиме проходження професійного аудиту безпеки.

У 2018 році Міністерство оборони розширило хакатон на низку нових програм, що проводилися компанією HackerOne, які націлили на урядові системи, що належать армії, ВПС, морським піхотинцям та оборонній системі оборони. Вони присудили загалом 500 000 доларів хакерам, які виявили близько 5000 унікальних уразливостей у урядових базах даних та на веб-сайтах.



United Airlines: 1 мільйон миль

United Airlines не видає готівку, але це дасть вам безкоштовні милі. Багато їх. У минулому році низка дослідників була нагороджена пролітними милями, серед яких Олів'є Бег, 19-річний дослідник безпеки з Нідерландів, який отримав 1 мільйон миль за те, що знайшов близько 20 різних помилок в системах авіакомпанії. ( Фото Nicolas Economou / NurPhoto через Getty Images )