Vad är en bug-bounty?

Du har säkert hört talas om Bug-premier, men är inte säker på vad de är. Här för att hjälpa till att reda ut förvirringen har vi skapat den här guiden som beskriver allt du behöver veta om bug-bounty-program.

Vad är en bug-bounty?

En säkerhetsbuggbounty är en typ av belöningsprogram för mjukvaruutvecklare. Mjukvaruföretag och enskilda hackare samarbetar för att hitta buggar i mjukvaruapplikationer innan de släpps till allmänheten. Varje buggpris är något annorlunda men alla har fastställda regler som måste följas. Amatörer uppmuntras ofta att hjälpa till, men det är viktigt att följa dessa regler och varje programs policy för ansvarsfull information.

Hur mycket betalar en bug-bounty?

Detta varierar mellan företag och produkter, men i allmänhet är det lägsta beloppet du hittar runt 100 USD. Endast en handfull företag erbjuder något runt 1 miljon dollar, även om de flesta stora företag kommer att ha ett program på plats med ett erbjudande på 100 000 dollar.

Microsoft buggpris

Microsofts topperbjudande är $300 000 för sårbarhetsrapporter på Microsoft Azure molntjänster. Företaget kommer också att betala ut $100 000 om du hittar sårbarheter i dess identitetstjänster och upp till $250 000 för säkerhetsproblem som finns i Microsoft Hyper V.

instagram viewer

Sårbarheter som finns i andra Microsoft-tjänster ger dig vanligtvis mellan 15 000 $ och 30 000 $. Säkerhetsproblem som hittas på Xbox kan tjäna dig 20 000 USD, medan problem som uppstår på den Chromium-baserade versionen av Microsoft Edge kan tjäna dig upp till 30 000 USD.

Apple buggpris

Apple har ett av de häftigaste bugg-bounty-erbjudandena som finns. Företaget kommer att ge dig en cool 1 miljon dollar om du lyckas hitta en sårbarhet som gör att någon kan hacka sig in i ett nätverk utan användarinteraktion. Med företagets egna ord måste detta vara en "nollklickskörning av kärnkod med persistens och kärn-PAC-bypass".

Den minsta utbetalningen som listas på Apples nuvarande webbplats är $100 000, som den kommer att betala ut om du lyckas hitta sårbarheter i iCloud, kringgå en låsskärm eller hitta ett sätt att komma åt känsliga data utan tillstånd via en installerad app.

Google buggpris

Google erbjuder massor av belöningar i sitt stora utbud av produkter.

För sårbarheter som hittas i Google-ägda webbegendomar varierar belöningarna från $100-$5000. Utbetalningar för Chrome-sårbarheter är lite större, allt från $500-$30,000, medan säkerhetsproblem som hittas på Google Play kommer att belönas med $500-$20,000.

Men de riktiga pengarna hittar du i buggpremien för Android på Pixel-produkter. Detta program betalar upp till 1 miljon dollar, beroende på utnyttjandet som upptäckts. Den högsta dollarn betalas ut för alla som kan hacka sig in i Pixel Titan M-chippet.

Utöver ovanstående finns ett par bidrag tillgängliga via Google. Dessa är för redan etablerade sårbarhetsforskare och sträcker sig från $1337 upp till $3133. Det finns också betalningar tillgängliga på upp till $20 000 för föreslagna patchar på vissa projekt med öppen källkod.

Facebook buggpris

Facebook har ingen övre gräns för vad det kommer att betala ut på buggpremier, utan har istället en sårbarhetsberäkning som tar hänsyn till "påverkan, enkel exploatering och rapportens kvalitet."

I korthet får företaget bestämma hur mycket din nyupptäckta sårbarhet är värd. Det minsta beloppet som belönas är 500 USD, men en individ har tidigare tilldelats 50 000 USD för sitt arbete.

Buggbounty-programmet inkluderar alla Facebook-produkter, så du kan använda samma portal för att skicka in frågor som rör Instagram.

HackerOne bug bounty

HackerOne är en blandning mellan plattform och kollektiv. Det tillhandahåller en portal för stora teknikföretag och hackare, vilket gör att de förra kan annonsera vilka monetära belöningar de kan erbjuda och de senare att skicka in sårbarhetsrapporter.

Den har en bra katalog med aktuella buggar, som erbjuder mellan $100-$2000 för sårbarheter.

Det är också värd för något som kallas Internet Bug Bounty, som kommer att betalas ut om du lyckas hitta ett säkerhetsfel i programvara som stöder internetstacken. Om du till exempel hittar ett problem med det populära programmeringsspråket Python kan du tjäna $500 i fickpengar.