Co je to odměna za chyby?

Pravděpodobně jste slyšeli o odměnách za chyby, ale nejste si jisti, co to je. Abychom vám pomohli objasnit zmatky, vytvořili jsme tuto příručku, která podrobně popisuje vše, co potřebujete vědět o programech odměn za chyby.

Co je to odměna za chyby?

Odměna za bezpečnostní chybu je druh programu odměn pro vývojáře softwaru. Softwarové společnosti a jednotliví hackeři se spojí, aby našli chyby v softwarových aplikacích, než je zveřejní. Každý bug bounty je mírně odlišný, ale všechny mají nastavená pravidla, která je třeba dodržovat. Amatéři jsou často vyzýváni, aby pomohli, ale je důležité dodržovat tato pravidla a zásady odpovědného zveřejňování každého programu.

Kolik se vyplácí odměna za chyby?

To se u různých společností a produktů liší, ale obecně platí, že nejnižší částka, kterou najdete, bude kolem 100 $. Jen hrstka společností nabízí něco kolem 1 milionu dolarů, ačkoli většina velkých společností bude mít program s nabídkou 100 000 dolarů.

Microsoft bug bounty

Nejvyšší nabídka společnosti Microsoft je 300 000 USD za zprávy o zranitelnosti cloudových služeb Microsoft Azure. Společnost také zaplatí 100 000 USD, pokud zjistíte zranitelnost v jejích službách Identity, a až 250 000 USD za bezpečnostní problémy nalezené v Microsoft Hyper V.

instagram viewer

Chyby zabezpečení nalezené v jiných službách společnosti Microsoft vás obvykle vydělají mezi 15 000 až 30 000 USD. Problémy se zabezpečením zjištěné na Xboxu vám mohou vydělat 20 000 $, zatímco problémy, se kterými se setkáte ve verzi Microsoft Edge založené na Chromiu, vám mohou vydělat až 30 000 $.

Apple bug bounty

Apple má jednu z největších nabídek odměn za chyby. Společnost vám dá skvělý 1 milion dolarů, pokud se vám podaří najít zranitelnost, která někomu umožní nabourat se do sítě bez jakékoli interakce uživatele. Vlastními slovy společnosti to musí být „spouštění kódu jádra s nulovým kliknutím s perzistencí a bypassem PAC jádra“.

Nejmenší výplata uvedená na aktuálním webu společnosti Apple je 100 000 $, kterou vám vyplatí, pokud se vám podaří najít zranitelnosti v iCloudu, obejít zamykací obrazovku nebo najít způsob, jak získat přístup k citlivým datům bez autorizace prostřednictvím nainstalovaná aplikace.

Google bug bounty

Google nabízí spoustu odměn v rámci své široké řady produktů.

Za zranitelná místa nalezená ve webových službách vlastněných společností Google se odměny pohybují od 100 do 5 000 USD. Výplaty za zranitelnost Chromu jsou o něco větší, pohybují se od 500 do 30 000 USD, zatímco bezpečnostní problémy nalezené na Google Play budou odměněny částkou 500 až 20 000 USD.

Ale skutečné peníze se nacházejí v odměně za chyby pro Android na produktech Pixel. Tento program platí až 1 milion dolarů v závislosti na objeveném exploitu. Nejvyšší dolar se vyplácí každému, kdo se dokáže nabourat do čipu Pixel Titan M.

Kromě výše uvedeného je přes Google k dispozici několik grantů. Ty jsou pro již zavedené výzkumníky zranitelnosti a pohybují se od 1337 do 3133 USD. K dispozici jsou také platby až do výše 20 000 USD za navrhované opravy u určitých projektů s otevřeným zdrojovým kódem.

Facebook bug bounty

Facebook nemá žádný horní limit toho, co vyplatí na odměnách za chyby, ale místo toho má výpočet zranitelnosti, který bere v úvahu „dopad, snadnost využití a kvalitu zprávy“.

Stručně řečeno, společnost musí rozhodnout, jakou hodnotu má vaše nově objevená zranitelnost. Minimální odměněná částka je 500 USD, ale jednotlivec již dříve obdržel za svou práci 50 000 USD.

Program bug bounty zahrnuje všechny produkty Facebooku, takže můžete použít stejný portál k odesílání problémů týkajících se Instagramu.

HackerOne bug bounty

HackerOne je mix mezi platformou a kolektivem. Poskytuje portál pro velké technologické společnosti a hackery, což umožňuje těm prvním inzerovat, jaké peněžní odměny může nabídnout, a těm druhým podávat zprávy o zranitelnosti.

Má dobrý adresář aktuálních odměn za chyby, které nabízejí mezi 100 až 2 000 $ za zranitelnosti.

Hostuje také něco, co se nazývá Internet Bug Bounty, které se vyplatí, pokud se vám podaří najít bezpečnostní chybu v softwaru, který podporuje internetový zásobník. Například nalezení problému s populárním programovacím jazykem Python vám může vydělat 500 dolarů na kapesném.