7 Stor utbetaling av feilbeløp

De første teknologiselskapene som ga bug-beløp - der betaling tilbys hackere som finner sårbarheter i koden - var nettleserprodusenter; Netscape sparket i gang i 1995 og Mozilla gjorde det samme i 2004.

Målet er å få hackere til å fortelle et risikofylt selskap om en feil før utnyttelsen blir offentlig kjent. Det er en vinn-vinn for hackere og virksomheter - hvorfor blokkere skurkene når de mer leiesoldat hackere kan bidra til å øke sikkerheten?

I løpet av de siste årene har jakt på bug blitt stor virksomhet med spillere som Google, Facebook, Yahoo og Microsoft som alle tilbyr store summer. Mange andre - som Tesla, Yelp, Reddit, Square, 1Password og Uber - har siden sluttet seg til festen, men feilbeløp er ikke begrenset til teknologiselskaper. Finans-, helsevesen- og myndighetsenheter tilbyr vederlag fordi de er desperate etter å være foran det neste store bruddet.

Bug-belønninger er blitt så vanlige at tredjepartsmeglere som Bugcrowd og HackerOne eksisterer for å koble hackere med dusørpenger. Som beskrevet i HackerOnes Hacker-rapport fra 2018, har selskapet utbetalt over 23 millioner dollar til de 166 000 hackerne i nettverket alene, som har fikset over 72 000 sårbarheter. Det er mye bra arbeid - for mye mindre penger enn et ekte hack kan koste et selskap i penger og omdømme.

Antallet registrerte brukere i HackerOne-samfunnet alene har eksplodert ti ganger, ifølge rapporten.

Naturligvis er det også noen negativer. Exodus Intelligence tilbyr for eksempel høyere beløp enn de store selskapene. Deretter selger et abonnement til selskaper som inkluderer den feilinformasjonen. Det er ikke nødvendigvis ille - å finne sårbarheter er viktig. Men som Sophos 'Lisa Vaas bemerker, "utnytt meglernes kunder kan være på siden av de gode gutta - si antivirus-leverandører som vil beskytte folk mot nyoppdagede hull - eller at de kan være på det krenkende, interessert i å bruke ikke avslørte utnytter for å målrette systemer selv."

Nedenfor kan du se på noen av de største utbetalingene ennå i det rikholdige feltet med bug-belønninger. Hvis du vet om noen større belønninger, gi oss beskjed i kommentarene.

Oath / Verizon Media

I april 2018 beskjeden organisasjonen tidligere kjent som Oath Inc. 400 000 dollar til 40 deltakere i HackerOnes live Hcking- H1-415-arrangement. Oath / Verizon Media, som eier Yahoo og AOL, dolla senere ut ytterligere $ 400 000 ved en egen hendelse i november 2018 til hackere som identifiserte 159 kritiske sikkerhetsproblemer.

Etter suksessen med disse bug bounty-hendelsene, opprettet selskapet et konsolidert bug bounty-program, som utbetalte 5 millioner dollar i 2018 til hackere og forskere som fant feil med forskjellige trusselnivåer på flere plattformer. ( Foto av Noam Galai / Getty Images for Verizon Media )



Microsoft

Microsoft nådde en milepæl i fjor med to millioner dollar i utbetalinger for feilbeløp, hvoretter den sluttet å gi ut informasjon om individuelle bounties foruten beløpene og alvorlighetsgraden av saken. Men den største dusøren som ble tildelt en enkelt person som vi kjenner til, er Vasilis Pappas, som mottok 200 000 dollar i 2012 da han var doktorgradsstudent ved Columbia University. Pappas sendte inn løsninger for et returorientert programmeringsproblem som hackere brukte for å komme seg rundt sikkerhetskontroller, og opprettet kBouncer, et program som demper alt som ser ut som ROP.



Google

Googles Vulnerability Rewards-program går tilbake til 2010. Det har siden utbetalt mer enn 15 millioner dollar, hvorav 3, 4 millioner ble tildelt i 2018 (og 1, 7 millioner dollar fokuserte på feil i Android og Chrome). Den største enkeltutbetalingen i fjor var en dusør på 41 000 dollar til en uspesifisert forsker. Av vederlagene som er offentlige, mottok 19 år gamle Ezequiel Pereira fra Uruguay $ 36 000 for å oppdage en feil med ekstern kjøring av kode i Googles Cloud Platform-konsoll.



HackerOne Millionaire

Som om Pereiras historie ikke er nok, må vi nevne en annen 19 år gammel søramerikaner som dreper bug-bounty-spillet: Argentinas Santiago Lopez, den første personen som topper $ 1 million dollar i inntekter på HackerOnes plattform. Den selvlærte hackeren sier at han startet med å se på YouTube-videoer og lese blogger på egenhånd, men at saken som startet hans interesse for hacking? Hva annet? 1995-filmen Hackers . ( Foto av United Artists / Getty Images )



Facebook

For et selskap som har opplevd noen få sikkerhetsbrudd i løpet av årene, er det ikke helt overraskende at Facebook ville være ivrig etter å finne og adressere smutthull og utnyttelser i koden. Det sosiale nettverkets bounty-program har utbetalt $ 7, 5 millioner siden oppstarten i 2011. Facebooks forrige rekord med høyeste enkeltutbetaling gikk til Andrew Leonov, en russisk sikkerhetsforsker som ble tildelt $ 40 000 for å oppdage en sikkerhetsfeil i en tredjeparts sikkerhetsprogramvare som kan påvirke Facebook selv. Den nye rekordutbetalingen skjedde i fjor - en kul $ 50.000 til en person.



Det amerikanske forsvarsdepartementet

I en måned i 2016 sa DoD under Obama-administrasjonen bokstavelig talt: "Hack Pentagon!" To hundre og femti hackere gikk etter feil i byråets systemer, og fant 138 sårbarheter som var verdt å lukke opp. Den totale utbetalingen til hackere var $ 150 000 - hvilket den gang forsvarsminister Ashton Carter sa var omtrent 850 000 dollar mindre enn det ville ha kostet å få en profesjonell sikkerhetsrevisjon.

I 2018 utvidet forsvarsdepartementet hackathon til en rekke nye programmer som var vert av HackerOne, som målrettet regjeringssystemer som eies av Hæren, flyvåpenet, marinesoldater og Defense Travel System. De delte ut $ 500 000 dollar til hackere som oppdaget rundt 5000 unike sårbarheter på tvers av myndighetsdatabaser og nettsteder.



United Airlines: 1 million miles

United Airlines gir ikke ut kontanter, men det vil gi deg gratis miles. Mange av dem. En rekke forskere ble tildelt flyer miles i fjor, inkludert Olivier Beg, en 19 år gammel sikkerhetsforsker fra Nederland som fikk 1 million miles for å finne rundt 20 forskjellige feil i flyselskapets systemer. ( Foto av Nicolas Economou / NurPhoto via Getty Images )