7 огромни изплащания за бонуси

Първите технологични компании, които предложиха баунти на бъгове - където се предлага плащане на хакери, които откриват уязвимости в кода - бяха производители на уеб браузъри; Netscape започна нещата през 1995 г., а Mozilla направи същото през 2004 година.

Целта е хакерите да кажат на рискова компания за грешка, преди експлоатацията да стане публично известна. Това е печеливша за хакерите и бизнеса - защо да блокираме лошите, когато по-наемните хакери могат да помогнат за повишаване на сигурността?

През последните години ловът на бъгове се превърна в голям бизнес с играчи като Google, Facebook, Yahoo и Microsoft, които предлагат големи суми. Множество други - като Tesla, Yelp, Reddit, Square, 1Password и Uber - оттогава се присъединиха към партията, но багърите не се ограничават само до технологичните компании. Финансите, здравеопазването и правителствените организации предлагат преимущества, тъй като те отчаяно искат да останат пред следващото голямо нарушение.

Баунти-баунти са станали толкова често срещани, че съществуват брокери на трети страни като Bugcrowd и HackerOne, които да свързват хакери с пари. Както е подробно описано в доклада на HackerOne за 2018 г., компанията е платила над 23 милиона долара само на 166 000 хакери в своята мрежа, които са отстранили над 72 000 уязвимости. Това е много добра работа - за много по-малко пари, отколкото истинският хак може да струва на компанията в пари и репутация.

Броят на регистрираните потребители само в общността HackerOne е експлодирал десетократно, според доклада.

Естествено, има и някои негативи. Exodus Intelligence, например, предлага по-високи печалби от големите компании. След това той продава абонамент на компании, който включва тази информация за грешки. Това не е задължително лошо - намирането на уязвимости е важно. Но както отбелязва Лиза Ваас от Sophos, клиентите на експлоатацията на брокери могат да бъдат на страната на добрите момчета - да речем, антивирусни доставчици, които искат да защитят хората от новооткритите дупки - или че биха могли да бъдат в настъпление, заинтересовани да използват неразкрити експлоатации за самите целеви системи."

По-долу разгледайте няколко от най-големите изплащания, все още в изобилното поле на бъгове. Ако знаете за някои по-големи щедрости, уведомете ни в коментарите.

Клетва / Verizon Media

През април 2018 г. организацията, известна по-рано като Oath Inc., отхвърли 400 000 долара на 40 участници в хакерското събитие H1-415 на живо HackerOne. Oath / Verizon Media, която притежава Yahoo и AOL, по-късно отпусна още $ 400K на отделно събитие през ноември 2018 г. на хакери, които идентифицираха 159 критични уязвимости в сигурността.

След успеха на тези събития за купуване на бъгове, компанията създаде консолидирана програма за баг-баунти, която изплати 5 милиона долара през 2018 г. на хакери и изследователи, които откриха грешки от различни нива на заплаха в множество платформи. ( Снимка от Ноам Галай / Гети изображения за Verizon Media )



Microsoft

Microsoft достигна крайъгълен камък през миналата година с 2 милиона долара в изплащането на багетски изплащания, след което спря да пуска информация за отделни награди освен сумите и тежестта на случая. Но най-голямата награда, присъдена на един човек, за който знаем, е Василис Папас, който получи 200 000 долара през 2012 г., когато беше докторант от университета в Колумбия. Pappas представи решения за проблем с програмиране, ориентирано към връщане, който хакерите използваха, за да заобиколят контролите за сигурност, и създадоха kBouncer, програма, която смекчава всичко, което прилича на ROP.



Google

Програмата за награди за уязвимост на Google датира от 2010 г. Оттогава тя изплати над 15 милиона долара, от които 3, 4 милиона долара бяха отпуснати през 2018 г. (и 1, 7 милиона долара от които бяха фокусирани върху бъгове в Android и Chrome). Най-голямото единично изплащане през миналата година беше богатство от 41 000 долара на неуточнена изследователка. От публичните публики, 19-годишният Езекиел Перейра от Уругвай получи 36 000 долара за откриване на грешка при изпълнение на отдалечен код в конзолата на облачната платформа на Google.



HackerOne милионер

Сякаш историята на Перейра не е достатъчна, трябва да споменем още един 19-годишен южноамериканец, който убива играта с бонуси на бъгове: аржентинският Сантяго Лопес, първият човек, който спечели 1 милион долара печалба в платформата на HackerOne. Самоукът хакер казва, че е стартирал, като е гледал видеоклипове в YouTube и е чел блогове сам, но нещото, което е започнало интереса му към хакерството? Какво друго? Филмовите хакери от 1995 г. ( Снимка от United Artists / Гети Имиджис )



Facebook

За компания, която през годините претърпя няколко пропуски в сигурността, не е изненадващо напълно, че Facebook би искал да намери и адресира вратички и експлоатации в своя код. Програмата за бъгове в социалната мрежа изплати 7, 5 милиона долара от създаването си през 2011 г. Предишният рекорд на Facebook за най-високо единично изплащане отиде при Андрю Леонов, руски изследовател по сигурността, който бе награден с $ 40 000 за откриване на пропуск в сигурността на софтуер за защита на трети страни, който може да повлияе на самия Facebook. Новото рекордно изплащане се случи миналата година - страхотни 50 000 долара на един човек.



Министерство на отбраната на САЩ

За един месец през 2016 г. министърът на ведомствата в администрацията на Обама буквално казваше: "Хакнете Пентагона!" Двеста и петдесет хакера преминаха след грешки в системите на агенцията и откриха 138 уязвимости, които си струва да се затворят. Общото изплащане на хакерите беше 150 000 долара - което тогава министърът на отбраната Аштън Картър заяви, че е с около 850 000 долара по-малко, отколкото би струвало да се извърши професионален одит за сигурност.

През 2018 г. Министерството на отбраната разшири хакатона до редица нови програми, хоствани от HackerOne, които бяха насочени към правителствените системи, собственост на армията, военновъздушните сили, морските пехотинци и отбранителната пътна система. Те присъдиха общо 500 000 долара на хакери, които откриха около 5000 уникални уязвимости в правителствените бази данни и уебсайтове.



United Airlines: 1 милион мили

United Airlines не раздава пари, но ще ви даде безплатни мили. Много от тях. През миналата година редица изследователи бяха отличени с полетни мили, включително Оливие Бег, 19-годишен изследовател по сигурността от Холандия, който получи 1 милион мили за намирането на около 20 различни бъгове в системите на авиокомпанията. ( Снимка на Nicolas Economou / NurPhoto чрез Getty Images )