7 Valtavia virhekorvauksia

Ensimmäiset teknologiayritykset, jotka tarjosivat virheitä, joissa maksaa hakkereille, jotka löytävät koodin haavoittuvuuksia, olivat selaimen valmistajat; Netscape aloitti asiat vuonna 1995 ja Mozilla teki saman vuonna 2004.

Tavoitteena on saada hakkerit kertomaan riskialttiille yrityksille virheestä ennen kuin hyväksikäyttö tulee julkisesti tiedossa. Se on hyötyä hakkereille ja yrityksille. Miksi estää pahat pojat, kun palkkasoturi-hakkerit voivat auttaa turvaamaan turvallisuutta?

Viime vuosina virheen metsästyksestä on tullut suurta liiketoimintaa sellaisten pelaajien kanssa kuten Google, Facebook, Yahoo ja Microsoft, jotka kaikki tarjoavat suuria summia. Paljon muita - kuten Tesla, Yelp, Reddit, Square, 1Password ja Uber - ovat sittemmin liittyneet puolueeseen, mutta virheenmaksut eivät rajoitu teknisiin yrityksiin. Rahoitus, terveydenhuolto ja julkisyhteisöt tarjoavat palkkioita, koska he haluavat epätoivoisesti pysyä seuraavan tärkeän rikkomuksen edessä.

Bug-palkkioista on tullut niin yleistä, että olemassa ovat kolmansien osapuolien välittäjät, kuten Bugcrowd ja HackerOne, joiden avulla hakkerit voidaan yhdistää palkkioihin. Kuten HackerOnen vuoden 2018 hakkeriraportissa kerrotaan, yritys on maksanut yli 23 miljoonaa dollaria pelkästään verkossa oleville 166 000 hakkereille, jotka ovat korjannut yli 72 000 haavoittuvuutta. Se on paljon hyvää työtä - paljon vähemmän rahaa kuin todellinen hakkerointi voi maksaa yritykselle rahaa ja mainetta.

Pelkästään HackerOne-yhteisössä rekisteröityjen käyttäjien määrä on kasvanut kymmenkertaiseksi raportin mukaan.

Luonnollisesti on myös joitain negatiivisia. Esimerkiksi Exodus Intelligence tarjoaa suurempia palkkioita kuin suuret yritykset. Sitten se myy yrityksille tilauksen, joka sisältää kyseisen virheen tiedot. Se ei välttämättä ole huonoa - haavoittuvuuksien löytäminen on tärkeää. Mutta kuten Sophosin Lisa Vaas toteaa, "hyväksikäyttövälittäjät voivat olla hyvien kaverien puolella - sanoen viruksentorjuntayritykset, jotka haluavat suojella ihmisiä vasta löydetyiltä reikiltä - tai että he voivat olla hyökkääviä, kiinnostuneita käyttämään julkistamatonta hyödyntää kohdistaa järjestelmiä itse."

Seuraavaksi katsotaan muutamia suurimpia maksuja, jotka ovat vielä tapahtuneet runsaalla vianlisäkentällä. Jos tiedät isoista eristä, ota meihin yhteyttä kommenteissa.

Oath / Verizon Media

Huhtikuussa 2018 aiemmin nimellä Oath Inc. toiminut organisaatio nosti 400 000 dollaria 40 osallistujalle HackerOnen live-hakkerointitapahtumassa H1-415. Yahoo ja AOL: n omistava Oath / Verizon Media myönsyi myöhemmin vielä 400 000 dollaria erillisessä tapahtumassa marraskuussa 2018 hakkereille, jotka havaitsivat 159 kriittistä tietoturva-aukkoa.

Näiden bug bounty -tapahtumien onnistumisen jälkeen yritys loi konsolidoidun bug bounty -ohjelman, joka maksoi 5 miljoonaa dollaria vuonna 2018 hakkereille ja tutkijoille, jotka löysivät eri uhatasoisia virheitä useilta alustoilta. ( Kuva: Noam Galai / Getty Images for Verizon Media )



Microsoft

Microsoft saavutti virstanpylvään viime vuonna 2 miljoonalla dollarilla virherahojen maksuja, minkä jälkeen se lopetti julkistamasta tietoja yksittäisistä rahastoista määrien ja tapauksen vakavuuden lisäksi. Mutta suurin palkitseminen, jonka tunnemme yhdelle henkilölle, on Vasilis Pappas, joka sai 200 000 dollaria vuonna 2012 ollessaan Columbian yliopiston jatko-opiskelija. Pappas lähetti ratkaisut paluukeskeiseen ohjelmointiongelmaan, jota hakkerit käyttivät kiertääkseen turvatarkistuksia, ja loi kBouncer-ohjelman, joka pienentää kaikkea, joka näyttää ROP: lta.



Google

Googlen haavoittuvuuspalkkio-ohjelma juontaa juurensa vuoteen 2010. Se on sittemmin maksanut yli 15 miljoonaa dollaria, josta 3, 4 miljoonaa dollaria myönnettiin vuonna 2018 (ja 1, 7 miljoonaa dollaria kohdistui virheisiin Androidissa ja Chromessa). Suurin yksittäinen voitto viime vuonna oli 41 000 dollarin palkkio määrittelemättömälle tutkijalle. Julkisista lahjoista 19-vuotias Ezequiel Pereira Uruguaysta sai 36 000 dollaria etäkoodin suorittamisvirheen löytämisestä Googlen Cloud Platform -konsolissa.



HackerOne-miljonääri

Ikään kuin Pereiran tarina ei riitä, meidän on mainittava toinen 19-vuotias eteläamerikkalainen, joka tappaa virhepelejä: Argentiinan Santiago Lopez, joka on ensimmäinen henkilö, jolla on miljoonan dollarin tulot HackerOnen alustalla. Itseoppinut hakkerit sanoivat aloittaneensa katsomalla YouTube-videoita ja lukemalla omia blogejaan, mutta mikä aloitti kiinnostuksensa hakkerointiin? Mitä muuta? Vuoden 1995 elokuva hakkerit . ( Kuva: United Artists / Getty Images )



Facebook

Yritykselle, joka on kokenut muutaman tietoturvan raukeamisen vuosien varrella, ei ole täysin yllättävää, että Facebook etsisi innokkaasti koodin puutteita ja hyväksikäyttöä. Sosiaalisen verkoston virhepalkkio-ohjelma on maksanut 7, 5 miljoonaa dollaria sen perustamisesta lähtien vuonna 2011. Facebookin aikaisempi ennätyksellinen korkein yksittäinen voitto meni venäläiselle turvallisuustutkijalle Andrew Leonoville, joka sai 40 000 dollaria turvallisuusvirheen löytämisestä kolmannen osapuolen tietoturvaohjelmistossa, joka voi vaikuttaa itse Facebookiin. Uusi ennätyksellinen voitto tapahtui viime vuonna - hienoa 50 000 dollaria yhdelle henkilölle.



Yhdysvaltain puolustusministeriö

Yhden kuukauden aikana 2016 Obaman hallinnon alainen DoD sanoi kirjaimellisesti: "Hack Pentagon!" Kaksisataa viisikymmentä hakkeriä seurasi virheitä viraston järjestelmissä ja löysi 138 haavoittuvuutta, jotka kannattaa sulkea. Hakkereille maksettiin kokonaisuudessaan 150 000 dollaria - mikä puolustusministeri Ashton Carterin mukaan oli noin 850 000 dollaria pienempi kuin ammatillisen turvallisuustarkastuksen saaminen olisi maksanut.

Puolustusministeriö laajensi hackathon-ohjelmaa vuonna 2018 joukkoon uusia HackerOnen isännöimiä ohjelmia, jotka kohdistuivat armeijan, ilmavoimien, merijalkaväen ja puolustusministeriön matkajärjestelmien omistamiin hallintojärjestelmiin. He palkitsivat 500 000 dollaria hakkereille, jotka löysivät noin 5000 ainutlaatuista haavoittuvuutta valtion tietokannoissa ja verkkosivustoilla.



United Airlines: 1 miljoona mailia

United Airlines ei anna käteistä, mutta se antaa sinulle ilmaisen mailin. Paljon niitä. Useille tutkijoille myönnettiin lentokenttämitat viime vuonna, mukaan lukien Olivier Beg, 19-vuotias hollantilainen turvallisuustutkija, joka sai miljoonan mailin löytääkseen noin 20 erilaista virhettä lentoyhtiön järjestelmissä. ( Kuva: Nicolas Economou / NurPhoto Getty Images -palvelun kautta )