Turinys:
- „Oath“ / „Verizon Media“
- „Microsoft“
- „Google“
- „HackerOne“ milijonierius
- JAV gynybos departamentas
- „United Airlines“: 1 milijonas mylių
Video: Ip hunt + Internet Booster (Lapkritis 2024)
Pirmosios technologijų kompanijos, pasiūliusios klaidų atsiskaitymus - kai mokėjimas siūlomas įsilaužėliams, kurie randa kodo spragų - buvo interneto naršyklių gamintojai; „Netscape“ viską pradėjo 1995 m., O „Mozilla“ tą patį padarė 2004 m.
Tikslas yra priversti įsilaužėlius papasakoti rizikingai įmonei apie klaidą, kol apie išnaudojimą nebus žinoma viešai. Tai naudinga įsilaužėliams ir verslui. Kodėl blokuoti blogi vyrukai, kai daugiau samdinių įsilaužėliai gali padėti sustiprinti saugumą?
Pastaraisiais metais klaidų medžioklė tapo dideliu verslu tokiems žaidėjams kaip „Google“, „Facebook“, „Yahoo“ ir „Microsoft“, siūlantiems dideles sumas. Nuo to laiko į partiją įstojo daugybė kitų, tokių kaip „Tesla“, „Yelp“, „Reddit“, „Square“, „1Password“ ir „Uber“, tačiau klaidų gausa neapsiriboja technologijų įmonėmis. Finansai, sveikatos priežiūros ir vyriausybės subjektai siūlo įmokas, nes nori despotiškai sustabdyti kitą svarbų pažeidimą.
Klaidų rinkiniai tapo tokie įprasti, kad egzistuoja trečiųjų šalių brokeriai, tokie kaip „Bugcrowd“ ir „HackerOne“, kurie sujungia įsilaužėlius su atleistais pinigais. Kaip išsamiai aprašyta „HackerOne“ 2018 m. „Hacker“ ataskaitoje, bendrovė išmokėjo daugiau nei 23 milijonus dolerių 166 000 savo tinklo hakerių, kurie ištaisė daugiau nei 72 000 pažeidžiamumų. Tai yra daug gero darbo - už daug mažiau pinigų nei tikras įsilaužimas įmonei gali kainuoti pinigais ir reputacija.
Ataskaitoje teigiama, kad vien „HackerOne“ bendruomenėje registruotų vartotojų skaičius išaugo dešimt kartų.
Natūralu, kad yra ir keletas negatyvų. Pavyzdžiui, „Exodus Intelligence“ siūlo didesnius įnašus nei didžiosios įmonės. Tada bendrovėms parduoda prenumeratą, kurioje yra ta klaidos informacija. Tai nebūtinai yra blogai - svarbu nustatyti pažeidžiamumus. Tačiau, kaip pažymi Sophos „Lisa Vaas“, „išnaudoti brokerių klientus gali būti gerų vyrukų pusėje, tarkime, antivirusinių programų pardavėjai, norintys apsaugoti žmones nuo naujai atrastų skylių arba galintys būti įžeidžiantys, norintys naudotis neatskleista informacija“ išnaudoja, kad nukreiptų pačias sistemas “.
Žemiau pažiūrėkite į keletą didžiausių išmokų, kurios vis dar gausios klaidų sumų srityje. Jei žinote apie keletą didesnių sumų, praneškite mums komentaruose.
„Oath“ / „Verizon Media“
2018 m. Balandžio mėn. Organizacija, anksčiau žinoma kaip „Oath Inc.“, „HackerOne“ gyvo įsilaužimo H1-415 renginyje iškrėtė 400 000 USD iki 40 dalyvių. Vėliau „Oath“ / „Verizon Media“, kuriai priklauso „Yahoo“ ir „AOL“, 2018 m. Lapkričio mėn. Atskirame renginyje padovanojo dar 400 tūkst. USD įsilaužėliams, kurie nustatė 159 kritines saugumo spragas.
Po šių klaidų atšokimo įvykių sėkmės bendrovė sukūrė konsoliduotą klaidų atgavimo programą, kuri 2018 metais išmokėjo 5 milijonus dolerių įsilaužėliams ir tyrėjams, kurie įvairiose platformose rado įvairaus pavojaus lygio klaidų. ( Noamo Galai nuotr. / „Getty Images“, skirta „Verizon Media“ )
„Microsoft“
Praėjusiais metais „Microsoft“ pasiekė svarbų tikslą - išmokėjo 2 milijonus JAV dolerių už klaidų išmokėjimą, po kurio nustojo skelbti informaciją apie atskirus mokėjimus, be sumų ir bylos sunkumo. Bet didžiausias vienišam asmeniui skirtas apdovanojimas, kurį mes žinome, yra Vasilis Pappas, kuris 2012 m., Kai jis buvo Kolumbijos universiteto doktorantas, gavo 200 000 USD. „Pappas“ pateikė į grįžimą orientuoto programavimo problemos, į kurią įsilaužėliai įpratę apeiti saugumo kontrolę, sprendimus ir sukūrė „kBouncer“ - programą, sušvelninančią viską, kas panašu į ROP.
„Google“
„Google“ pažeidžiamumo apdovanojimo programa datuojama 2010 m. Nuo to laiko ji išmokėjo daugiau nei 15 milijonų dolerių, iš kurių 3, 4 milijono dolerių buvo skirta 2018 m. (O 1, 7 milijono dolerių buvo skirta klaidoms „Android“ ir „Chrome“). Didžiausia vienkartinė išmoka praėjusiais metais buvo 41 000 USD premija nenustatytam tyrėjui. Iš viešų įmokų 19-metis Ezequielis Pereira iš Urugvajaus gavo 36 000 USD už tai, kad atrado nuotolinio kodo vykdymo klaidą „Google“ debesies platformos konsolėje.
„HackerOne“ milijonierius
Tarsi Pereiros pasakojimo neužtenka, turime paminėti dar vieną 19-metį pietų amerikietį, kuris žudo žaidimą dėl klaidų: Argentinos „Santiago Lopez“ - pirmasis asmuo, uždirbančio milijoną JAV dolerių uždarbį „HackerOne“ platformoje. Savamokslis hakeris sako, kad savo pradžią pradėjo žiūrėti „YouTube“ vaizdo įrašus ir savarankiškai skaityti tinklaraščius, tačiau dalykas, dėl kurio kilo jo pomėgis įsilaužti? Kas dar? 1995 metų filmas „ Piratai“ . ( „United Artists“ / „Getty Images“ nuotrauka )
Bendrovei, kuri per kelerius metus patyrė keletą saugumo problemų, nėra visiškai nuostabu, kad „Facebook“ norėtų surasti ir pašalinti spragas ir išnaudoti savo kodą. Nuo to laiko, kai ji buvo pradėta vykdyti, socialiniame tinkle buvo sumokėta 7, 5 mln. USD. „Facebook“ ankstesnis didžiausias vienkartinės išmokos rekordas atiteko Andrew Leonov - Rusijos saugumo tyrinėtojui, kuriam buvo skirta 40 000 USD už trečiosios šalies saugumo programinės įrangos saugumo trūkumo atradimą. gali paveikti patį „Facebook“. Naujasis rekordinis išmokėjimas įvyko praėjusiais metais - šaunūs 50 000 USD vienam asmeniui.
JAV gynybos departamentas
Vieną 2016 m. Obamos administracijos DoD tiesiogine prasme sakė: „Nulaužk Pentagoną!“ Du šimtai penkiasdešimt įsilaužėlių stebėjo klaidas agentūros sistemose ir rado 138 pažeidžiamumus, kuriuos verta uždaryti. Iš viso hakeriams išmokėta 150 000 USD - tuometinis gynybos sekretorius Ashtonas Carteris teigė, kad buvo maždaug 850 000 USD mažesnė, nei būtų kainavusi profesionaliam saugumo auditui gauti.
2018 m. Gynybos departamentas išplėtė hackathon programą iki daugybės naujų programų, kurias rengė „HackerOne“, kurios buvo nukreiptos į armijos, oro pajėgų, jūrų pėstininkų ir gynybos kelionių sistemos valdomas vyriausybines sistemas. Jie skyrė 500 000 USD įsilaužėliams, kurie atrado apie 5000 unikalių pažeidžiamumų vyriausybės duomenų bazėse ir svetainėse.
„United Airlines“: 1 milijonas mylių
„United Airlines“ neišduos grynųjų, bet suteiks jums nemokamų mylių. Daug jų. Praėjusiais metais daugybei tyrėjų buvo suteiktos skrajutės mylios, įskaitant 19-metį saugumo tyrinėtoją iš Nyderlandų Olivier Beg, gavusį 1 milijoną mylių už tai, kad oro linijų sistemose buvo rasta apie 20 skirtingų klaidų. ( Nicolas Economou / NurPhoto nuotrauka per „Getty Images“ )
