Hva er en bug-bounty?

Du har sikkert hørt om Bug-premier, men er ikke sikker på hva de er. Her for å hjelpe til med å rydde opp i forvirringen har vi laget denne guiden som beskriver alt du trenger å vite om bug-bounty-programmer.

Hva er en bug-bounty?

En sikkerhetsbug-bounty er en type belønningsprogram for programvareutviklere. Programvareselskaper og individuelle hackere slår seg sammen for å finne feil i programvareapplikasjoner før de offentliggjøres. Hver bug-bounty er litt forskjellig, men alle har fastsatte regler som må følges. Amatører oppfordres ofte til å hjelpe, men det er viktig å følge disse reglene og hvert programs retningslinjer for ansvarlig avsløring.

Hvor mye betaler en bug-bounty?

Dette varierer mellom selskaper og produkter, men generelt vil det laveste beløpet du finner være rundt $100. Bare en håndfull selskaper tilbyr noe rundt 1 million dollar, selv om de fleste store selskaper vil ha et program på plass med et tilbud på 100 000 dollar.

Microsoft bug-bounty

Microsofts topptilbud er $300 000 for sårbarhetsrapporter på Microsoft Azure-skytjenester. Selskapet vil også betale $100 000 hvis du finner sårbarheter i identitetstjenestene og opptil $250 000 for sikkerhetsproblemer funnet i Microsoft Hyper V.

instagram viewer

Sårbarheter funnet i andre Microsoft-tjenester vil vanligvis gi deg mellom $15 000-$30 000. Sikkerhetsproblemer funnet på Xbox kan gi deg $20 000, mens problemer som oppstår på den Chromium-baserte versjonen av Microsoft Edge kan gi deg opptil $30 000.

Apple bug-premie

Apple har et av de heftigste bug-bounty-tilbudene som finnes. Selskapet vil gi deg en kjølig $1 million hvis du klarer å finne en sårbarhet som lar noen hacke seg inn i et nettverk uten brukerinteraksjon. Med selskapets egne ord må dette være en "null-klikk kjernekodekjøring med utholdenhet og kjerne-PAC-bypass".

Den minste utbetalingen som er oppført på Apples nåværende side er $100 000, som den vil betale ut hvis du klarer å finne sårbarheter i iCloud, omgå en låseskjerm eller finne en måte å få tilgang til sensitive data uten autorisasjon via en installert app.

Google bug bounty

Google tilbyr massevis av belønninger på tvers av det store utvalget av produkter.

For sårbarheter funnet i Google-eide nettegenskaper, varierer belønningene fra $100-$5000. Utbetalinger for Chrome-sårbarheter er litt større, og varierer fra $500-$30 000, mens sikkerhetsproblemer funnet på Google Play vil bli belønnet med $500-$20,000.

Men de ekte pengene finnes i bug-premien for Android på Pixel-produkter. Dette programmet betaler opptil 1 million dollar, avhengig av utnyttelsen som oppdages. Topp dollar utbetales for alle som kan hacke seg inn i Pixel Titan M-brikken.

I tillegg til ovennevnte er det et par stipender tilgjengelig via Google. Disse er for allerede etablerte sårbarhetsforskere og varierer fra $1337 opp til $3133. Det er også tilgjengelige betalinger på opptil $20 000 for foreslåtte oppdateringer på visse åpen kildekode-prosjekter.

Facebook-bug-premie

Facebook har ingen øvre grense for hva det vil betale ut av feilpremier, men har i stedet en sårbarhetsberegning som tar hensyn til «påvirkning, enkel utnyttelse og kvaliteten på rapporten».

Kort oppsummert kan selskapet bestemme hvor mye din nylig oppdagede sårbarhet er verdt. Minimumsbeløpet som belønnes er $500, men en person har tidligere blitt tildelt $50 000 for arbeidet sitt.

Bugs-bounty-programmet inkluderer alle Facebook-produkter, så du kan bruke den samme portalen til å sende inn problemer knyttet til Instagram.

HackerOne bug bounty

HackerOne er en blanding mellom plattform og kollektiv. Den gir en portal for store teknologiselskaper og hackere, som lar førstnevnte annonsere hvilke pengebelønninger den kan tilby og sistnevnte å sende inn sårbarhetsrapporter.

Den har en god katalog over gjeldende bug-bounties, som tilbyr mellom $100-$2000 for sårbarheter.

Den er også vert for noe som kalles Internet Bug Bounty, som vil betale seg hvis du klarer å finne en sikkerhetsfeil i programvare som støtter internettstakken. Hvis du for eksempel finner et problem med det populære programmeringsspråket Python, kan du tjene $500 i lommepenger.