Что такое баг-баунти?

Вы, наверное, слышали о Bug Bounty, но не знаете, что это такое. Чтобы помочь устранить путаницу, мы создали это руководство, в котором подробно описано все, что вам нужно знать о программах вознаграждения за обнаружение ошибок.

Что такое баг-баунти?

Награда за обнаружение ошибок безопасности — это своего рода программа поощрения разработчиков программного обеспечения. Компании-разработчики программного обеспечения и отдельные хакеры объединяются, чтобы найти ошибки в программных приложениях, прежде чем публиковать их. Каждая награда за обнаружение ошибок немного отличается, но все они имеют установленные правила, которым необходимо следовать. Любителям часто предлагается помочь, но важно следовать этим правилам и политике ответственного раскрытия информации каждой программы.

Сколько платят за баг-баунти?

Это зависит от компании и продукта, но в целом самая низкая сумма, которую вы найдете, будет около 100 долларов. Только несколько компаний предлагают что-то около отметки в 1 миллион долларов, хотя у большинства крупных компаний есть программа с предложением в 100 000 долларов.

Награда за ошибку Майкрософт

Лучшее предложение Microsoft — 300 000 долларов за отчеты об уязвимостях в облачных сервисах Microsoft Azure. Компания также выложит 100 000 долларов, если вы обнаружите уязвимости в своих службах идентификации, и до 250 000 долларов за проблемы безопасности, обнаруженные в Microsoft Hyper V.

Уязвимости, обнаруженные в других службах Microsoft, обычно приносят вам от 15 000 до 30 000 долларов. Проблемы с безопасностью, обнаруженные на Xbox, могут принести вам 20 000 долларов, а проблемы, обнаруженные в версии Microsoft Edge на основе Chromium, могут принести вам до 30 000 долларов.

Награда за ошибки Apple

У Apple есть одно из самых щедрых предложений по вознаграждению за обнаружение ошибок. Компания даст вам крутой 1 миллион долларов, если вам удастся найти уязвимость, которая позволяет кому-то взломать сеть без какого-либо взаимодействия с пользователем. По словам самой компании, это должно быть «выполнение кода ядра без щелчка с сохранением и обходом ядра PAC».

Наименьшая выплата, указанная на текущем сайте Apple, составляет 100 000 долларов, и она будет выплачена, если вам удастся найти уязвимости в iCloud, обойти экран блокировки или найти способ получить доступ к конфиденциальным данным без авторизации через установленное приложение.

Награда за ошибку Google

Google предлагает множество вознаграждений за широкий спектр продуктов.

За уязвимости, обнаруженные в веб-ресурсах, принадлежащих Google, вознаграждение варьируется от 100 до 5000 долларов. Выплаты за уязвимости Chrome немного выше и составляют от 500 до 30 000 долларов, а проблемы с безопасностью, обнаруженные в Google Play, будут вознаграждены в размере от 500 до 20 000 долларов.

Но настоящие деньги можно найти в вознаграждении за ошибки для Android на продуктах Pixel. Эта программа платит до 1 миллиона долларов, в зависимости от обнаруженного эксплойта. Крупнейший доллар выплачивается любому, кто сможет взломать чип Pixel Titan M.

В дополнение к вышеперечисленному, есть несколько грантов, доступных через Google. Они предназначены для уже известных исследователей уязвимостей и варьируются от 1337 до 3133 долларов. Также доступны платежи в размере до 20 000 долларов США за предлагаемые исправления для некоторых проектов с открытым исходным кодом.

Награда за ошибку Facebook

Facebook не имеет верхнего предела выплат по вознаграждениям за обнаружение ошибок, но вместо этого имеет расчет уязвимости, который учитывает «воздействие, простоту использования и качество отчета».

Короче говоря, компания должна решить, сколько стоит ваша недавно обнаруженная уязвимость. Минимальная сумма вознаграждения составляет 500 долларов, но ранее за свою работу человек получал 50 000 долларов.

Программа вознаграждения за обнаружение ошибок включает все продукты Facebook, поэтому вы можете использовать тот же портал для отправки вопросов, связанных с Instagram.

Вознаграждение за ошибку HackerOne

HackerOne — это смесь платформы и коллектива. Он предоставляет портал для крупных технологических компаний и хакеров, позволяя первым рекламировать денежное вознаграждение, которое он может предложить, а последним — отправлять отчеты об уязвимостях.

У него есть хороший каталог текущих вознаграждений за ошибки, которые предлагают от 100 до 2000 долларов за уязвимости.

На нем также размещается что-то под названием Internet Bug Bounty, которое будет выплачиваться, если вам удастся найти брешь в безопасности в программном обеспечении, поддерживающем интернет-стек. Например, обнаружение проблемы с популярным языком программирования Python может принести вам 500 долларов на карманные расходы.

Почему доверяют нашей журналистике?

Основанный в 2004 году, Trusted Reviews существует для того, чтобы давать нашим читателям подробные, непредвзятые и независимые советы о том, что покупать.

Сегодня у нас есть миллионы пользователей в месяц со всего мира, и мы оцениваем более 1000 продуктов в год.