7 תשלומי שכר ענקיים באג

חברות הטכנולוגיה הראשונות שהציעו הנחות באגים - בהן מוצע תשלום להאקרים שמוצאים פגיעויות בקוד - היו יצרני דפדפני האינטרנט; נטסקייפ בעט את העניינים ב -1995 ומוזילה עשתה זאת גם בשנת 2004.

המטרה היא לגרום להאקרים לספר לחברה בסיכון על באג לפני שהנצל יתוודע לרבים. זה win-win עבור ההאקרים והעסקים - מדוע לחסום את הרעים כאשר האקרים שכירי החרב יותר יכולים לעזור לגייס את האבטחה?

בשנים האחרונות ציד באגים הפך לעסקים גדולים עם שחקנים כמו גוגל, פייסבוק, יאהו ומיקרוסופט שכולם מציעים סכומים גדולים. המון אנשים אחרים - כמו טסלה, Yelp, Reddit, Square, 1Password ו- Uber - הצטרפו מאז למסיבה, אך השפל באגים אינם מוגבלים רק לחברות טק. גורמי כספים, שירותי בריאות וגופים ממשלתיים מציעים הוצאות כספיות מכיוון שהם נואשים להקדים את ההפרה הגדולה הבאה.

פרזול באגים הפך להיות כה נפוץ עד כי מתווכים של צד שלישי כמו Bugcrowd ו- HackerOne קיימים כדי לחבר בין האקרים לכספי שפע. כמפורט בדוח ההאקר של HackerOne לשנת 2018, החברה שילמה מעל 23 מיליון דולר ל 166, 000 ההאקרים ברשת שלה בלבד, שתיקנו מעל 72, 000 פגיעויות. זו הרבה עבודה טובה - תמורת הרבה פחות כסף ממה שהאקינג אמיתי יכול לעלות לחברה בכסף ובמוניטין.

מספר המשתמשים הרשומים בקהילת HackerOne בלבד התפוצץ פי עשרה, על פי הדיווח.

באופן טבעי יש גם כמה שליליות. Exodus Intelligence, למשל, מציע שכר גבוה יותר מאשר החברות הגדולות. לאחר מכן היא מוכרת מנוי לחברות הכוללות את פרטי הבאג הזה. זה לא בהכרח רע - מציאת פגיעויות חשובה. אך כפי שציינה ליסה וואס של סופוס, "לקוחות ניצול מתווכים יכולים להיות בצד של החבר'ה הטובים - נניח, ספקי אנטי-וירוס שרוצים להגן על אנשים מפני חורים שזה עתה התגלו - או שהם יוכלו להיות בהתקפה, מעוניינים להשתמש בבלתי מוסר מנצל למטרה למערכות עצמן."

להלן, תסתכל על כמה מהתשלומים הגדולים ביותר שעדיין בתחום השפע של שפע באגים. אם אתה יודע על כמה שכר גדול יותר, יידע אותנו בתגובות.

Oath / Verizon Media

באפריל 2018 הפגין הארגון שהיה ידוע בעבר בשם Oath Inc. 400, 000 $ ל- 40 משתתפים באירוע ההאקינג H1-415 של האקר. Oath / Verizon Media, שבבעלותה יאהו ו- AOL, הוציאה מאוחר יותר 400, 000 דולר נוספים באירוע נפרד בנובמבר 2018 להאקרים שזיהו 159 נקודות תורפה קריטיות.

לאחר הצלחתם של אירועי שפע הבאגים הללו, החברה יצרה תוכנית שפע של באג, אשר שילמה 5 מיליון דולר בשנת 2018 להאקרים וחוקרים שמצאו באגים ברמות איום שונות בפלטפורמות מרובות. ( צילום: נועם גלאי / Getty Images עבור Verizon Media )



מיקרוסופט

מיקרוסופט הגיעה לאבן דרך בשנה שעברה עם תשלומי שכר הנכסים באג, בסך 2 מיליון דולר, לאחר מכן היא הפסיקה לשחרר מידע על סכומים בודדים מלבד הסכומים וחומרת התיקים. אבל השפע הגדול ביותר שהוענק לאדם בודד שאנחנו מכירים הוא Vasilis Pappas, שקיבל 200, 000 דולר בשנת 2012 כשהיה סטודנט לתואר שלישי באוניברסיטת קולומביה. פפאס הגיש פתרונות לבעיית תכנות מונחה-חוזר בהאקרים נהגו לעקוף בקרות אבטחה, ויצר kBouncer, תוכנית הממתנת כל מה שנראה כמו ROP.



גוגל

תוכנית תגמולי הפגיעות של גוגל מתוארכת לשנת 2010. היא שילמה מאז יותר מ -15 מיליון דולר, מתוכם 3.4 מיליון דולר הוענקו בשנת 2018 (ו- 1.7 מיליון דולר מהם התמקדו באגים באנדרואיד וכרום). התשלום היחיד הגדול ביותר בשנה שעברה היה שובר של 41, 000 $ לחוקר לא מוגדר. מבין הסכומים הפומביים, Ezequiel Pereira, בן 19 מאורוגוואי, קיבל 36, 000 $ בגין גילוי באג לביצוע קוד מרחוק במסוף פלטפורמת הענן של גוגל.



HackerOne מיליונר

כאילו הסיפור של פריירה לא מספיק, עלינו להזכיר עוד דרום אמריקני בן 19 שנהרג את משחק נפגעי הבאגים: סנטיאגו לופז של ארגנטינה, האדם הראשון שמרוויח מיליון דולר ברווחים בפלטפורמה של HackerOne. ההאקר המלמד את עצמו אומר שהוא התחיל בצפייה בסרטוני יוטיוב וקריאת בלוגים בכוחות עצמו, אבל הדבר שהקפיץ את ההתעניינות שלו בפריצה? מה עוד? הסרט האקרים מ -1995. ( תמונה מאת יונייטד אמנים / Getty Images )



פייסבוק

עבור חברה שחוותה כמה פגמי אבטחה במהלך השנים, זה לא לגמרי מפתיע שפייסבוק תשוקה לאתר ולהתייחס לפרצות וניצולים בקוד שלה. תכנית השפע הבאגים של הרשת החברתית שילמה 7.5 מיליון דולר מאז הקמתה בשנת 2011. הרשומה הקודמת של פייסבוק לגבי התשלום הגבוה ביותר עבור יחיד עברה לאנדרו ליאונוב, חוקר אבטחה רוסי שהוענק לו 40, 000 דולר בגין גילוי ליקוי אבטחה בתוכנת אבטחה של צד שלישי, יכול להשפיע על פייסבוק עצמה. תשלום השיא החדש קרה בשנה שעברה - 50, 000 דולר מגניבים לאדם אחד.



משרד ההגנה האמריקני

במשך חודש אחד בשנת 2016, ה- DoD תחת ממשל אובמה אמר ממש: "האק את הפנטגון!" מאתיים וחמישים האקרים עקבו אחר באגים במערכות הסוכנות ומצאו 138 נקודות תורפה ששווה לסגור אותן. התשלום הכולל להאקרים היה 150, 000 $ - אשר שר הביטחון דאז, אשטון קרטר, אמר כי הוא היה 850, 000 $ פחות ממה שהיה עולה כדי לקבל ביקורת ביטחונית מקצועית.

בשנת 2018 הרחיב משרד ההגנה את ההאקתון לשלל תוכניות חדשות שאירח HackerOne, אשר פקדו מערכות ממשלתיות בבעלות הצבא, חיל האוויר, הנחתים ומערכת נסיעות ההגנה. הם העניקו 500, 000 דולר משולבים להאקרים שגילו כ -5, 000 פגיעויות ייחודיות במאגרי מידע ממשלתיים ואתרי אינטרנט.



יונייטד איירליינס: מיליון מיילים

יונייטד איירליינס לא מחלקת מזומנים, אבל היא תעניק לך מיילים חינם. הרבה מהם. מספר חוקרים זכו בשנה שעברה למיילים, ביניהם אוליבייה ביג, חוקר אבטחה בן 19 מהולנד שקיבל מיליון מיילים בגין מציאתם של כעשרים באגים שונים במערכות חברת התעופה. ( תמונה מאת ניקולא אקונמו / NurPhoto באמצעות Getty Images )