7 การจ่ายเงินรางวัลบั๊กขนาดใหญ่

บริษัท ด้านเทคโนโลยีรายแรกที่เสนอข้อบกพร่องที่ได้รับการจ่ายเงินให้กับแฮกเกอร์ที่พบช่องโหว่ในรหัสนั้นเป็นผู้ผลิตเว็บเบราว์เซอร์ Netscape เริ่มเปิดฉากในปี 1995 และ Mozilla ก็ทำเช่นเดียวกันในปี 2004

เป้าหมายคือเพื่อให้แฮกเกอร์บอก บริษัท ที่มีความเสี่ยงเกี่ยวกับข้อผิดพลาดก่อนที่การโจมตีจะเป็นที่รู้จัก มันเป็น win-win สำหรับแฮกเกอร์และธุรกิจ - ทำไมต้องปิดกั้นคนเลวเมื่อแฮ็กเกอร์รับจ้างมากขึ้นสามารถช่วยเพิ่มความปลอดภัยได้?

ในช่วงไม่กี่ปีที่ผ่านมาการล่าบั๊กได้กลายเป็นธุรกิจขนาดใหญ่ที่มีผู้เล่นเช่น Google, Facebook, Yahoo และ Microsoft ทั้งหมดเสนอผลรวมจำนวนมาก คนอื่น ๆ อีกมากมายเช่น Tesla, Yelp, Reddit, Square, 1Password และ Uber ได้เข้าร่วมปาร์ตี้แล้ว แต่ข้อผิดพลาดที่เกิดขึ้นไม่ได้ จำกัด เฉพาะ บริษัท เทคโนโลยี การเงินการดูแลสุขภาพและหน่วยงานภาครัฐเสนอรางวัลเพราะพวกเขาหมดหวังที่จะอยู่ก่อนการฝ่าฝืนครั้งใหญ่ครั้งต่อไป

Bug ได้กลายเป็นเรื่องธรรมดาที่โบรกเกอร์ของบุคคลที่สามอย่าง Bugcrowd และ HackerOne มีอยู่เพื่อเชื่อมต่อกับแฮ็คเกอร์ด้วยเงินรางวัล ตามรายละเอียดในรายงานของ HackerOne ในปี 2018 รายงาน บริษัท ได้จ่ายเงินมากกว่า 23 ล้านเหรียญสหรัฐให้กับแฮกเกอร์ 166, 000 คนในเครือข่ายของตนเพียงผู้เดียวที่ได้แก้ไขช่องโหว่กว่า 72, 000 ช่องโหว่ นั่นเป็นงานที่ดีมากเพราะเงินน้อยกว่าแฮ็คจริง ๆ อาจทำให้ บริษัท เสียเงินและชื่อเสียง

จำนวนผู้ใช้ที่ลงทะเบียนในชุมชน HackerOne เพียงอย่างเดียวได้เพิ่มขึ้นเป็นสิบเท่าตามรายงาน

ตามธรรมชาติแล้วยังมีข้อเสียบางอย่าง Exodus Intelligence ยกตัวอย่างเช่นเสนอรางวัลที่สูงกว่า บริษัท ใหญ่ ๆ จากนั้นจะขายการสมัครสมาชิกให้กับ บริษัท ที่มีข้อมูลบั๊กนั้น ไม่จำเป็นต้องเลวร้าย - การค้นหาช่องโหว่เป็นสิ่งสำคัญ แต่ในขณะที่ Sophos 'Lisa Vaas กล่าวว่า "การใช้ประโยชน์จากลูกค้าของโบรกเกอร์อาจอยู่ด้านข้างของคนดี - พูดว่าผู้ขายโปรแกรมป้องกันไวรัสที่ต้องการปกป้องผู้คนจากการค้นพบหลุมใหม่หรือว่าพวกเขาอาจเป็นคนรุก หาประโยชน์จากระบบเป้าหมายเอง "

ด้านล่างให้ดูที่การจ่ายเงินจำนวนมากที่สุดที่ยังอยู่ในพื้นที่ของข้อบกพร่องที่อุดมสมบูรณ์ หากคุณรู้เกี่ยวกับค่าหัวที่ใหญ่กว่าแจ้งให้เราทราบในความคิดเห็น

คำสาบาน / Verizon Media

ในเดือนเมษายน 2018 องค์กรที่ก่อนหน้านี้รู้จักกันในชื่อ Oath Inc. ได้ระดมทุนผู้เข้าร่วมการแข่งขันแฮ็ค H1-415 จำนวน 400, 000 ถึง 40 คน Oath / Verizon Media ซึ่งเป็นเจ้าของ Yahoo และ AOL ต่อมาได้ระดมเงินอีก $ 400K ในเหตุการณ์ที่แยกต่างหากในเดือนพฤศจิกายน 2018 สำหรับแฮกเกอร์ที่ระบุช่องโหว่ด้านความปลอดภัย 159 จุด

หลังจากความสำเร็จของเหตุการณ์ความผิดพลาดเหล่านี้ บริษัท ได้สร้างโปรแกรมการรวมจุดบกพร่องแบบครบวงจรซึ่งจ่ายเงิน 5 ล้านเหรียญสหรัฐในปี 2561 ให้กับแฮกเกอร์และนักวิจัยที่พบข้อบกพร่องในระดับภัยคุกคามต่าง ๆ ในหลายแพลตฟอร์ม ( ภาพถ่ายโดย Noam Galai / Getty Images สำหรับ Verizon Media )



ไมโครซอฟท์

Microsoft บรรลุความสำเร็จครั้งสำคัญเมื่อปีที่แล้วด้วยเงิน 2 ล้านเหรียญสหรัฐในการจ่ายเงินรางวัลบั๊กจากนั้นมันก็หยุดปล่อยข้อมูลเกี่ยวกับเงินรางวัลส่วนบุคคลนอกเหนือจากจำนวนเงินและความรุนแรงของคดี แต่เงินรางวัลที่ใหญ่ที่สุดที่มอบให้แก่บุคคลเดียวที่เรารู้จักคือ Vasilis Pappas ซึ่งได้รับ $ 200, 000 ในปี 2012 เมื่อเขาเป็นนักศึกษาปริญญาเอกมหาวิทยาลัยโคลัมเบีย Pappas ส่งคำตอบสำหรับปัญหาการเขียนโปรแกรมแบบมุ่งเน้นกลับที่แฮกเกอร์ใช้เพื่อหลีกเลี่ยงการควบคุมความปลอดภัยและสร้าง kBouncer ซึ่งเป็นโปรแกรมที่ช่วยลดสิ่งที่ดูเหมือน ROP



Google

โปรแกรม Vulnerability Rewards ของ Google มีอายุย้อนหลังไปจนถึงปี 2010 โดยได้รับการจ่ายเงินไปแล้วกว่า 15 ล้านเหรียญสหรัฐซึ่งได้รับรางวัลมูลค่า 3.4 ล้านเหรียญสหรัฐในปี 2561 (และ 1.7 ล้านเหรียญซึ่งมุ่งเน้นไปที่ข้อบกพร่องใน Android และ Chrome) การจ่ายเงินครั้งเดียวที่ใหญ่ที่สุดในปีที่แล้วเป็นเงินรางวัล $ 41, 000 ให้กับนักวิจัยที่ไม่ระบุรายละเอียด จากจำนวนเงินที่เป็นสาธารณะ Ezequiel Pereira อายุ 19 ปีจากอุรุกวัยได้รับเงิน $ 36, 000 สำหรับการค้นพบข้อผิดพลาดการเรียกใช้รหัสระยะไกลในคอนโซลแพลตฟอร์มคลาวด์ของ Google



HackerOne เศรษฐี

ราวกับว่าเรื่องราวของ Pereira ยังไม่เพียงพอเราต้องพูดถึงชาวอเมริกาใต้อีก 19 ปีที่กำลังฆ่าเกมรับรางวัลบั๊ก: Santiago Lopez ของอาร์เจนตินาคนแรกทำเงินได้สูงสุด 1 ล้านเหรียญบนแพลตฟอร์มของ HackerOne แฮ็กเกอร์ที่เรียนรู้ด้วยตนเองกล่าวว่าเขาเริ่มต้นด้วยการดูวิดีโอบน YouTube และอ่านบล็อกด้วยตัวเอง แต่สิ่งที่ทำให้เขาเริ่มสนใจแฮ็ค? มีอะไรอีกบ้าง? แฮ็กเกอร์ ภาพยนตร์ปี 1995 ( ภาพถ่ายโดย United Artists / Getty Images )



Facebook

สำหรับ บริษัท ที่ประสบปัญหาความปลอดภัยไม่กี่ปีที่ผ่านมาก็ไม่น่าแปลกใจเลยที่ Facebook จะกระตือรือร้นที่จะค้นหาและแก้ไขช่องโหว่และการหาช่องโหว่ในโค้ดของ บริษัท โปรแกรมข้อผิดพลาดของเครือข่ายโซเชียลได้จ่ายเงินไปแล้ว 7.5 ล้านเหรียญสหรัฐนับตั้งแต่เริ่มก่อตั้งในปี 2554 สถิติก่อนหน้านี้ของการจ่ายเงินรางวัลสูงสุดครั้งเดียวของ Facebook ตกเป็นของ Andrew Leonov นักวิจัยด้านความปลอดภัยของรัสเซีย อาจส่งผลกระทบต่อ Facebook การจ่ายเงินสูงสุดเป็นประวัติการณ์เมื่อปีที่แล้ว - ยอดเยี่ยม $ 50, 000 ต่อคน



กระทรวงกลาโหมสหรัฐ

เป็นเวลาหนึ่งเดือนในปี 2559 กระทรวงการต่างประเทศของโอบามากล่าวอย่างแท้จริงว่า: "Hack the Pentagon!" แฮกเกอร์สองร้อยห้าสิบคนติดตามข้อบกพร่องในระบบของเอเจนซี่และพบว่ามีช่องโหว่จำนวน 138 ช่องที่ควรค่าแก่การปิดกั้น จำนวนเงินที่จ่ายให้แฮ็กเกอร์ทั้งหมดอยู่ที่ $ 150, 000 ซึ่งรัฐมนตรีกลาโหมแอชตันคาร์เตอร์กล่าวว่ามีค่าใช้จ่ายน้อยกว่าค่าใช้จ่ายในการตรวจสอบความปลอดภัยอย่างมืออาชีพประมาณ $ 850, 000

ในปี 2561 กระทรวงกลาโหมได้ขยายการแฮ็กฮ็อตไปสู่โปรแกรมใหม่ที่จัดทำโดย HackerOne ซึ่งกำหนดเป้าหมายระบบของรัฐบาลโดยกองทัพบกกองทัพอากาศนาวิกโยธินและระบบป้องกันการเดินทาง พวกเขามอบเงินรางวัลรวม 500, 000 เหรียญแก่แฮกเกอร์ผู้ค้นพบช่องโหว่ที่ไม่ซ้ำกันประมาณ 5, 000 รายการในฐานข้อมูลและเว็บไซต์ของรัฐบาล



สายการบินยูไนเต็ด: 1 ล้านไมล์

United Airlines ไม่ได้จ่ายเงินสด แต่จะให้ไมล์ฟรีแก่คุณ จำนวนมาก นักวิจัยจำนวนหนึ่งได้รับรางวัลไมล์สะสมเมื่อปีที่แล้วซึ่งรวมถึง Olivier Beg นักวิจัยด้านความปลอดภัยอายุ 19 ปีจากเนเธอร์แลนด์ซึ่งได้รับ 1 ล้านไมล์เพื่อค้นหาข้อผิดพลาดต่างๆ 20 ระบบในสายการบิน ( ภาพถ่ายโดย Nicolas Economou / NurPhoto ผ่าน Getty Images )