İçindekiler:
- Yemin / Verizon Media
- Microsoft,
- HackerOne Milyoner
- ABD Savunma Bakanlığı
- United Airlines: 1 Milyon Mil
Video: Ramo - 7.Bölüm (Kasım 2024)
Böcek ödülleri sunan ilk teknoloji şirketleri - kodda güvenlik açığı bulan bilgisayar korsanlarına ödeme teklif edildi - web tarayıcısı üreticileri; Netscape, 1995'te işleri başlattı ve Mozilla, 2004'te de aynısını yaptı.
Amaç, bilgisayar korsanlarının, halka açık bir şekilde bilinmeden önce risk altındaki bir şirkete bir hata hakkında bilgi vermelerini sağlamaktır. Bilgisayar korsanları ve şirketler için bir kazan-kazan - neden paralı askerler daha paralı asker korsanlarının güvenliği artırmasına yardımcı olabilir?
Son yıllarda böcek avı, Google, Facebook, Yahoo ve Microsoft gibi oyuncularla büyük miktarlar sunan büyük bir iş haline geldi. Tesla, Yelp, Reddit, Square, 1Password ve Uber gibi pek çokları partiye katıldı, ancak hata ödülleri teknoloji şirketleriyle sınırlı değil. Finans, sağlık ve devlet kurumları, bir sonraki büyük ihlalin önünde durma konusunda çaresiz oldukları için ödüller sunuyorlar.
Böcek ödülleri öylesine yaygınlaştı ki, Hackcrow ve HackerOne gibi üçüncü taraf brokerler korsanları ödül parasıyla bağlamak için var oldular. HackerOne'un 2018 Hacker Raporu'nda ayrıntılı olarak açıklandığı gibi, şirket yalnızca ağında bulunan ve 72.000'den fazla güvenlik açığını gideren 166.000 bilgisayar korsanına 23 milyon dolar ödemiştir. Bu çok iyi bir iş - gerçek bir kesmeden çok daha az para için bir şirkete para ve itibar olarak mal olabilir.
Rapora göre, yalnızca HackerOne topluluğundaki kayıtlı kullanıcı sayısı on kat patladı.
Doğal olarak, bazı olumsuzluklar da var. Örneğin, Exodus Intelligence, büyük şirketlerden daha yüksek ödüller sunar. Daha sonra bu hata bilgisini içeren şirketlere bir abonelik satıyor. Bu mutlaka fena değil - güvenlik açıklarını bulmak önemlidir. Ancak Sophos'un Lisa Vaas'ın belirttiği gibi, "brokerların müşterilerini sömürmek" iyi adamların yanında olabilir - mesela insanları yeni keşfedilen deliklerden korumak isteyen antivirüs satıcıları - açıklanamayanları kullanmakla ilgileniyorlar sistemlerin kendilerini hedef almasını sağlar. "
Aşağıda, bugüne kadarki en büyük ödemelerden birçoğuna ve bu en büyük böcek ödülleri alanında bir göz atın. Daha büyük bazı ödüller hakkında bilginiz varsa, yorumlarda bize bildirin.
Yemin / Verizon Media
Nisan 2018’de, daha önce Oath Inc. olarak bilinen organizasyon, HackerOne’nin canlı saldırı haberi H1-415 etkinliğinde 400.000 $ 'a 40 katılımcı çıkardı. Yahoo ve AOL’nin sahibi olan Oath / Verizon Media, daha sonra Kasım 2018’de düzenlenen bir başka etkinlikte, 400 kritik güvenlik açığı tespit eden bilgisayar korsanlarına 400 bin dolar daha harcadı.
Bu hata ödül etkinliklerinin başarısından sonra şirket, 2018'de 5 milyon ABD doları ödeyen ve çeşitli platformlarda çeşitli tehdit düzeylerinde hatalar tespit eden bilgisayar korsanlarına araştırmacılar için konsolide bir hata ödül programı yarattı. ( Verizon Media için Noam Galai / Getty Images tarafından çekilmiş resim )
Microsoft,
Microsoft, geçen yıl 2 milyon dolarlık hata ödemesiyle bir dönüm noktasına ulaştı ve ardından miktarlar ve durum ciddiyeti dışında bireysel ödüller hakkında bilgi vermeyi durdurdu. Ancak, bildiğimiz tek bir kişiye verilen en büyük ödül 2012 yılında Columbia Üniversitesi Doktora öğrencisi iken 200.000 dolar alan Vasilis Pappas. Pappas, bilgisayar korsanlarının güvenlik kontrollerini ele almaları için kullanılan, Dönüş Odaklı bir Programlama sorunu için çözümler sundu ve ROP gibi görünen her şeyi hafifleten bir program olan kBouncer'ı yarattı.HackerOne Milyoner
Pereira'nın öyküsü yetmiyormuş gibi, böcek ödül oyununu öldüren 19 yaşındaki bir başka Güney Amerikalıdan bahsetmek zorundayız: Arjantin'in Santiago Lopez, HackerOne platformunda 1 milyon dolar kazanan ilk kişi. Kendi kendini eğiten hacker, YouTube videolarını izleyerek ve blogları kendi başına okuyarak başladığını söylüyor, ama hacklemeye olan ilgisini hızlandıran şey? Başka? 1995 filmi Hackerlar . ( United Artists / Getty Images tarafından fotoğraf )Yıllar boyunca birkaç güvenlik kesintisi yaşayan bir şirket için, Facebook'un kodundaki boşlukları ve istismarları bulmak ve ele almak için istekli olması tamamen şaşırtıcı değildir. Sosyal ağın hata ödemesi programı, 2011'deki kuruluşundan bu yana 7, 5 milyon dolar ödedi. Facebook'un önceki en yüksek tek ödeme rekoru, bir üçüncü taraf güvenlik yazılımında bir güvenlik açığı bulduğu için 40.000 dolar ödüllü bir Rus güvenlik araştırmacısı Andrew Leonov'a gitti. Facebook'un kendisini etkileyebilir. Yeni rekor ödemesi geçen yıl gerçekleşti - bir kişiye 50.000 dolar.
ABD Savunma Bakanlığı
2016'da bir ay boyunca Obama yönetimi altındaki DoD tam anlamıyla şöyle dedi: "Pentagon'u Hackle!" İki yüz elli hacker, ajansın sistemindeki hataların peşinden gitti ve kapanmaya değer 138 kırılganlık buldu. Bilgisayar korsanlarına toplam ödeme 150.000 dolardı - Savunma Bakanı Ashton Carter, profesyonel güvenlik denetimi yaptırmanın maliyetinden 850.000 dolar daha düşük olduğunu söyledi.
2018 yılında, Savunma Bakanlığı hackathon'u, Ordu, Hava Kuvvetleri, Deniz Kuvvetleri ve Savunma Seyahat Sisteminin sahip olduğu hükümet sistemlerini hedef alan HackerOne tarafından barındırılan bir dizi yeni programa genişletti. Hükümet veritabanlarında ve web sitelerinde yaklaşık 5.000 benzersiz güvenlik açığı keşfeden bilgisayar korsanlarına birleştirilmiş 500.000 dolar verdiler.