7 khoản tiền thưởng lỗi rất lớn

Các công ty công nghệ đầu tiên cung cấp tiền thưởng lỗi, nơi thanh toán được cung cấp cho các tin tặc tìm thấy lỗ hổng trong mã mã là các nhà sản xuất trình duyệt web; Netscape đã khởi động mọi thứ vào năm 1995 và Mozilla đã làm điều tương tự vào năm 2004.

Mục đích là để tin tặc nói với một công ty có nguy cơ về một lỗi trước khi khai thác được công khai. Đó là một chiến thắng cùng có lợi cho tin tặc và các doanh nghiệp. Tại sao lại chặn những kẻ xấu khi những tin tặc hám lợi hơn có thể giúp củng cố an ninh?

Trong những năm gần đây, việc săn lỗi đã trở thành một công việc lớn với những người chơi như Google, Facebook, Yahoo và Microsoft đều cung cấp một khoản tiền lớn. Rất nhiều người khác, như Tesla, Yelp, Reddit, Square, 1Password, và Uber, đã tham gia bữa tiệc, nhưng tiền thưởng lỗi không giới hạn ở các công ty công nghệ. Các tổ chức tài chính, y tế và chính phủ cung cấp tiền thưởng vì họ mong muốn vượt lên trước các vi phạm lớn tiếp theo.

Tiền thưởng lỗi đã trở nên phổ biến đến nỗi các nhà môi giới bên thứ ba như Bugcrowd và HackerOne tồn tại để kết nối tin tặc với tiền thưởng. Như chi tiết trong Báo cáo Hacker 2018 của HackerOne, công ty đã trả hơn 23 triệu đô la cho 166.000 tin tặc trong mạng của mình, những người đã sửa chữa hơn 72.000 lỗ hổng. Đó là rất nhiều công việc tốt, kiếm được ít tiền hơn rất nhiều so với một vụ hack thực sự có thể khiến một công ty mất tiền và danh tiếng.

Số người dùng đã đăng ký trong cộng đồng HackerOne đã tăng gấp 10 lần, theo báo cáo.

Đương nhiên, cũng có một số tiêu cực. Exodus Intelligence, ví dụ, cung cấp tiền thưởng cao hơn so với các công ty lớn. Sau đó, nó bán một thuê bao cho các công ty bao gồm thông tin lỗi đó. Điều đó không nhất thiết là xấu tìm kiếm lỗ hổng là quan trọng. Nhưng như Lisa Vaas của Sophos lưu ý, "khách hàng của các nhà môi giới khai thác có thể đứng về phía những người tốt lành nói, các nhà cung cấp dịch vụ chống vi-rút muốn bảo vệ mọi người khỏi các lỗ hổng mới được phát hiện hoặc họ có thể tấn công, quan tâm đến việc sử dụng không được tiết lộ khai thác để tự hệ thống mục tiêu. "

Dưới đây, hãy xem một vài trong số các khoản thanh toán lớn nhất trong lĩnh vực tiền thưởng lỗi. Nếu bạn biết về một số tiền thưởng lớn hơn, hãy cho chúng tôi biết trong các ý kiến.

Lời thề / Truyền thông Verizon

Vào tháng 4 năm 2018, tổ chức trước đây được gọi là Oath Inc. đã bỏ ra 400.000 đô la cho 40 người tham gia vào sự kiện hack trực tiếp H1-415 của HackerOne. Oath / Verizon Media, công ty sở hữu Yahoo và AOL, sau đó đã kiếm được 400 nghìn đô la khác tại một sự kiện riêng vào tháng 11 năm 2018 cho các tin tặc đã xác định được 159 lỗ hổng bảo mật quan trọng.

Sau thành công của các sự kiện tiền thưởng lỗi này, công ty đã tạo ra một chương trình tiền thưởng lỗi hợp nhất, đã trả 5 triệu đô la vào năm 2018 cho các tin tặc và các nhà nghiên cứu tìm thấy lỗi ở các mức độ đe dọa khác nhau trên nhiều nền tảng. ( Ảnh của Noam Galai / Getty Images cho Verizon Media )



Microsoft

Microsoft đã đạt được một cột mốc vào năm ngoái với khoản thanh toán tiền thưởng lỗi 2 triệu đô la, sau đó hãng đã ngừng tiết lộ thông tin về tiền thưởng cá nhân bên cạnh số tiền và mức độ nghiêm trọng của vụ việc. Nhưng tiền thưởng lớn nhất được trao cho một người duy nhất mà chúng ta biết là Vasilis Pappas, người đã nhận được 200.000 đô la vào năm 2012 khi anh còn là nghiên cứu sinh tiến sĩ của Đại học Columbia. Pappas đã gửi giải pháp cho vấn đề Lập trình hướng trở lại mà tin tặc đã sử dụng để kiểm soát bảo mật và tạo kBouncer, một chương trình giảm thiểu mọi thứ giống như ROP.



Google

Chương trình Phần thưởng dễ bị tổn thương của Google bắt đầu từ năm 2010. Từ đó, họ đã trả được hơn 15 triệu đô la, 3, 4 triệu đô la đã được trao vào năm 2018 (và 1, 7 triệu đô la trong đó tập trung vào các lỗi trong Android và Chrome). Khoản thanh toán lớn nhất năm ngoái là một khoản tiền thưởng trị giá 41.000 đô la cho một nhà nghiên cứu không xác định. Trong số các tiền thưởng được công khai, Ezequiel Pereira, 19 tuổi đến từ Uruguay đã nhận được 36.000 đô la khi phát hiện ra lỗi Thực thi mã từ xa trong bảng điều khiển Nền tảng đám mây của Google.



Triệu phú HackerOne

Như thể câu chuyện của Pereira là không đủ, chúng ta phải nhắc đến một người Nam Mỹ 19 tuổi khác, người đang giết trò chơi tiền thưởng lỗi: Argentina của Santiago Lopez, người đầu tiên kiếm được 1 triệu đô la thu nhập trên nền tảng của HackerOne. Hacker tự học nói rằng anh ta đã bắt đầu bằng cách xem video trên YouTube và tự mình đọc blog, nhưng điều gì làm anh ta hứng thú với việc hack? Còn gì nữa không Bộ phim Hacker năm 1995. ( Ảnh của United Artists / Getty Images )



Facebook

Đối với một công ty đã trải qua một vài lần mất bảo mật trong nhiều năm qua, không có gì đáng ngạc nhiên khi Facebook sẽ háo hức tìm và giải quyết các sơ hở và khai thác trong mã của mình. Chương trình tiền thưởng lỗi của mạng xã hội đã trả 7, 5 triệu đô la kể từ khi thành lập vào năm 2011. Kỷ lục thanh toán cao nhất trước đây của Facebook đã thuộc về Andrew Leonov, một nhà nghiên cứu bảo mật người Nga đã được trao 40.000 đô la vì phát hiện ra lỗ hổng bảo mật trong phần mềm bảo mật của bên thứ ba. có thể ảnh hưởng đến chính Facebook. Khoản thanh toán kỷ lục mới đã xảy ra vào năm ngoái, một khoản tiền 50.000 đô la cho một người.



Bộ Quốc phòng Hoa Kỳ

Trong một tháng vào năm 2016, DoD dưới thời chính quyền Obama đã nói theo nghĩa đen: "Hack Lầu năm góc!" Hai trăm năm mươi tin tặc đã theo dõi các lỗi trong hệ thống của cơ quan và tìm thấy 138 lỗ hổng đáng bị đóng cửa. Tổng số tiền thanh toán cho tin tặc là 150.000 đô la mà sau đó Bộ trưởng Quốc phòng Ashton Carter nói là ít hơn khoảng 850.000 đô la so với chi phí để có được một cuộc kiểm toán bảo mật chuyên nghiệp.

Năm 2018, Bộ Quốc phòng đã mở rộng hackathon thành một loạt các chương trình mới do HackerOne tổ chức, nhắm vào các hệ thống chính phủ thuộc sở hữu của Quân đội, Không quân, Thủy quân lục chiến và Hệ thống Du lịch Quốc phòng. Họ đã trao tổng cộng 500.000 đô la cho các tin tặc đã phát hiện ra khoảng 5.000 lỗ hổng độc nhất trên các cơ sở dữ liệu và trang web của chính phủ.



United Airlines: 1 Million Miles

United Airlines không đưa ra tiền mặt, nhưng nó, bạn sẽ cung cấp cho bạn dặm miễn phí. Rất nhiều trong số họ. Một số nhà nghiên cứu đã được trao dặm tờ năm ngoái, trong đó có Olivier Beg, một nhà nghiên cứu an ninh 19 tuổi đến từ Hà Lan đã nhận 1 triệu dặm cho việc tìm kiếm khoảng 20 lỗi khác nhau trong hệ thống của hãng hàng không. ( Ảnh của Nicolas economou / NurPhoto qua Getty Images )