Innehållsförteckning:
- Oath / Verizon Media
- Microsoft
- HackerOne-miljonär
- USA: s försvarsdepartement
- United Airlines: 1 miljon mil
Video: 6 bugg!!!! :D (November 2024)
De första tekniska företagen som erbjöd felbounties - där betalning erbjuds hackare som finner sårbarheter i koden - var webbläsare. Netscape startade saker 1995 och Mozilla gjorde samma sak 2004.
Målet är att få hackare att berätta ett företag i riskzonen om ett fel innan utnyttjandet blir allmänt känt. Det är en win-win för hackarna och företagen - varför blockera skurkarna när de mer legosoldat hackarna kan hjälpa till att öka säkerheten?
På senare år har buggjakt blivit stora affärer med spelare som Google, Facebook, Yahoo och Microsoft som alla erbjuder stora summor. Massor av andra - som Tesla, Yelp, Reddit, Square, 1Password och Uber - har sedan dess gått med i partiet, men buggodon är inte begränsade till tekniska företag. Finans-, hälso- och sjukvårdsföretag och statliga enheter erbjuder belopp eftersom de är desperata efter att hålla sig före nästa stora överträdelse.
Buggmottagningar har blivit så vanligt att tredjepartsmäklare som Bugcrowd och HackerOne existerar för att ansluta hackare till ränta. Såsom beskrivs i HackerOnes Hackerrapport 2018 har företaget betalat ut över 23 miljoner dollar till de 166 000 hackarna i sitt nätverk, som har fixat över 72 000 sårbarheter. Det är mycket bra arbete - för mycket mindre pengar än ett riktigt hack kan kosta ett företag i pengar och rykte.
Antalet registrerade användare i HackerOne-samhället ensam har exploderat tiofaldigt, enligt rapporten.
Naturligtvis finns det också några negativa. Exodus Intelligence erbjuder till exempel högre belöningar än de stora företagen. Den säljer sedan ett prenumeration till företag som innehåller den felinfo. Det är inte nödvändigtvis dåligt - att hitta sårbarheter är viktigt. Men som Sophos Lisa Vaas konstaterar, "exploatera mäklarkunder" kan vara på godas sida - säg antivirusförsäljare som vill skydda människor från nyupptäckta hål - eller att de kan vara offensiva, intresserade av att använda icke avslöjade utnyttjar för att rikta in sig själva på system."
Nedan kan du titta på några av de största utbetalningarna som hittills har gjorts inom det rikliga fältet av buggount. Om du vet om några större bounties, berätta för oss i kommentarerna.
Oath / Verizon Media
I april 2018 utskalade organisationen tidigare känd som Oath Inc. $ 400 000 till 40 deltagare i HackerOnes livehackande H1-415-evenemang. Oath / Verizon Media, som äger Yahoo och AOL, doldade senare ut ytterligare 400 000 USD vid ett separat evenemang i november 2018 till hackare som identifierade 159 kritiska säkerhetsproblem.
Efter framgången med dessa bounty-evenemang skapade företaget ett konsoliderat bug-bounty-program, som betalade ut 5 miljoner dollar 2018 till hackare och forskare som hittade buggar med olika hotnivåer på flera plattformar. ( Foto av Noam Galai / Getty Images för Verizon Media )
Microsoft
Microsoft nådde en milstolpe förra året med $ 2 miljoner i utbetalningar av felavkastningar, varefter den slutade släppa information om enskilda bounties förutom beloppen och allvarlighetsgraden. Men den största vinsten som tilldelades en enda person som vi känner till är Vasilis Pappas, som fick 200 000 dollar 2012 när han var doktorand vid Columbia University. Pappas skickade in lösningar för ett returorienterat programmeringsproblem som hackare använde för att komma runt säkerhetskontroller, och skapade kBouncer, ett program som mildrar allt som ser ut som ROP.
HackerOne-miljonär
Som om Pereiras berättelse inte är tillräckligt, måste vi nämna ytterligare en 19-årig sydamerikan som dödar bounty-spelet: Argentinas Santiago Lopez, den första personen som toppade 1 miljon dollar i intäkter på HackerOnes plattform. Den självlärda hackaren säger att han började med att titta på YouTube-videor och läsa bloggar på egen hand, men det som hoppade hans intresse för hacking? Vad annars? 1995-filmen Hackare . ( Foto av United Artists / Getty Images )
För ett företag som har upplevt några få säkerhetsbrister under åren är det inte helt förvånande att Facebook skulle vara angelägen om att hitta och adressera kryphål och utnyttjar i sin kod. Det sociala nätverkets bounty-program har betalat ut 7, 5 miljoner dollar sedan starten 2011. Facebook: s tidigare rekord med högsta enskilda utbetalning gick till Andrew Leonov, en rysk säkerhetsforskare som tilldelades $ 40 000 för att upptäcka en säkerhetsbrist i en tredjeparts säkerhetsprogramvara som kan påverka Facebook själv. Den nya rekordutbetalningen hände förra året - en cool $ 50 000 till en person.
USA: s försvarsdepartement
Under en månad 2016 sa DoD under Obama-administrationen bokstavligen: "Hack Pentagon!" Tvåhundra och femtio hackare gick efter buggar i byråns system och fann 138 sårbarheter som är värda att stänga. Den totala utbetalningen till hackare var $ 150 000 - vilket då sade försvarssekreteraren Ashton Carter sa att var cirka 850 000 dollar mindre än det skulle ha kostat att få en professionell säkerhetsrevision.
År 2018 utökade försvarsdepartementet hackathon till ett antal nya program som var värda av HackerOne, som riktade regeringssystem som ägs av armén, flygvapnet, marinesoldater och försvarets resesystem. De delade ut en kombination av $ 500 000 till hackare som upptäckte cirka 5 000 unika sårbarheter över regeringsdatabaser och webbplatser.
United Airlines: 1 miljon mil
United Airlines ger inte ut kontanter, men det ger dig gratis miles. Många av dem. Ett antal forskare tilldelades flyger miles förra året, inklusive Olivier Beg, en 19-årig säkerhetsforskare från Nederländerna som fick 1 miljon miles för att hitta cirka 20 olika buggar i flygbolagets system. ( Foto av Nicolas Economou / NurPhoto via Getty Images )
