Čo je to bug bounty?

Pravdepodobne ste už počuli o odmenách za chyby, ale nie ste si istí, čo to je. Aby sme vám pomohli objasniť zmätok, vytvorili sme túto príručku s podrobným popisom všetkého, čo potrebujete vedieť o programoch odmeňovania chýb.

Čo je to bug bounty?

Odmena za bezpečnostné chyby je typ programu odmeňovania pre vývojárov softvéru. Softvérové spoločnosti a jednotliví hackeri sa spoja, aby našli chyby v softvérových aplikáciách pred ich zverejnením. Každá bug bounty je mierne odlišná, no všetky majú stanovené pravidlá, ktoré je potrebné dodržiavať. Amatéri sú často povzbudzovaní, aby pomohli, ale je dôležité dodržiavať tieto pravidlá a zásady zodpovedného zverejňovania každého programu.

Koľko platí odmena za chyby?

To sa líši v závislosti od spoločností a produktov, ale vo všeobecnosti bude najnižšia suma, ktorú nájdete, okolo 100 USD. Len niekoľko spoločností ponúka niečo okolo 1 milióna dolárov, hoci väčšina veľkých spoločností má zavedený program s ponukou 100 000 dolárov.

odmena za chyby od spoločnosti Microsoft

instagram viewer

Najlepšia ponuka spoločnosti Microsoft je 300 000 USD na správy o zraniteľnosti cloudových služieb Microsoft Azure. Spoločnosť tiež poskytne 100 000 USD, ak nájdete zraniteľné miesta v jej službách identity a až 250 000 USD za bezpečnostné problémy nájdené v Microsoft Hyper V.

Zraniteľnosť nájdená v iných službách spoločnosti Microsoft vám zvyčajne prinesie 15 000 až 30 000 USD. Problémy so zabezpečením nájdené na konzole Xbox vám môžu zarobiť 20 000 USD, zatiaľ čo problémy, ktoré sa vyskytnú vo verzii Microsoft Edge založenej na prehliadači Chromium, vám môžu zarobiť až 30 000 USD.

Apple bug bounty

Apple má jednu z najväčších ponúk odmeny za chyby. Spoločnosť vám dá skvelý 1 milión dolárov, ak sa vám podarí nájsť zraniteľnosť, ktorá umožní niekomu nabúrať sa do siete bez akejkoľvek interakcie používateľa. Podľa vlastných slov spoločnosti to musí byť „spustenie kódu jadra s nulovým kliknutím s vytrvalosťou a vynechaním PAC jadra“.

Najmenšia výplata uvedená na aktuálnej stránke spoločnosti Apple je 100 000 dolárov, ktorú vám vyplatí, ak sa vám podarí nájsť zraniteľnosti v iCloud, obísť uzamknutú obrazovku alebo nájsť spôsob, ako získať prístup k citlivým údajom bez autorizácie prostredníctvom nainštalovaná aplikácia.

Google bug bounty

Google ponúka množstvo odmien v rámci svojej širokej škály produktov.

Za chyby zabezpečenia nájdené vo webových vlastníctvach vlastnených spoločnosťou Google sa odmeny pohybujú od 100 do 5 000 USD. Výplaty za chyby zabezpečenia prehliadača Chrome sú o niečo väčšie, pohybujú sa od 500 do 30 000 USD, zatiaľ čo bezpečnostné problémy nájdené v službe Google Play budú odmenené sumou 500 až 20 000 USD.

Skutočné peniaze sa však nachádzajú v odmene za chyby pre Android na produktoch Pixel. Tento program zaplatí až 1 milión dolárov v závislosti od objaveného exploitu. Za každého, kto sa dokáže nabúrať do čipu Pixel Titan M, sa vypláca najvyšší dolár.

Okrem vyššie uvedeného je cez Google k dispozícii niekoľko grantov. Sú určené pre už zavedených výskumníkov v oblasti zraniteľnosti a pohybujú sa od 1337 do 3133 USD. K dispozícii sú aj platby až do výšky 20 000 USD za navrhované opravy v niektorých projektoch s otvoreným zdrojom.

Facebook bug bounty

Facebook nemá žiadnu hornú hranicu toho, čo zaplatí za odmeny za chyby, ale namiesto toho má výpočet zraniteľnosti, ktorý zohľadňuje „vplyv, jednoduchosť využívania a kvalitu správy“.

Stručne povedané, spoločnosť musí rozhodnúť, akú hodnotu má vaša novoobjavená zraniteľnosť. Minimálna odmena je 500 USD, ale jednotlivec už predtým dostal za svoju prácu 50 000 USD.

Program bug bounty zahŕňa všetky produkty Facebooku, takže môžete použiť rovnaký portál na odosielanie problémov týkajúcich sa Instagramu.

HackerOne bug bounty

HackerOne je mix medzi platformou a kolektívom. Poskytuje portál pre veľké technologické spoločnosti a hackerov, čo umožňuje hackerom inzerovať, aké peňažné odmeny môže ponúknuť, a tým druhým podávať správy o zraniteľnosti.

Má dobrý adresár aktuálnych odmien za chyby, ktoré ponúkajú od 100 do 2 000 dolárov za zraniteľnosti.

Hostí tiež niečo, čo sa nazýva Internet Bug Bounty, ktoré sa vyplatí, ak sa vám podarí nájsť bezpečnostnú chybu v softvéri, ktorý podporuje internetový zásobník. Napríklad nájdenie problému s populárnym programovacím jazykom Python vám môže zarobiť 500 dolárov ako vreckové.