Większość czytelników Kapitana Hack’a doskonale wie, czym są „Bug bounty”. Pewnej części naszych odbiorców, przychodziło również do głowy zdanie w brzemieniu dokładnie takim, jak tytuł tego artykułu. Ale dla porządku. Bug bounty to oczywiście programy premiowe za wykryte błędy w systemach informatycznych oferowane przez wiele stron internetowych, organizacji i twórców oprogramowania. W ramach wynagrodzenia wypłacane są pieniądze, ale równie niebagatelne znaczenie ma uznanie. Odkrywanie i rozwiązywanie problemów, zanim opinia publiczna je zauważy, pozwala nie tylko zapobiegać przypadkom nadużyć, ale przede wszystkim jest okazją do potwierdzenia własnych umiejętności.

Oczywiście w wynagradzaniu zewnętrznych fachowców za wykryte potencjalne problemy w kodzie przodują firmy branży technologicznej, ale także konserwatywne organizacje, takie jak np. Departament Obrony Stanów Zjednoczonych. Wykorzystywanie przez Pentagon programów z nagrodami jest częścią zmiany postawy, w wyniku której kilka agencji rządowych USA obrało kurs od grożenia hakerom w „białych kapeluszach” użyciem środków prawnych, do zaproszenia ich do udziału w ramach kompleksowych akcji ujawniania luk w zabezpieczeniach.


Hack the Pentagon

„Hack the Pentagon”, po raz pierwszy przetestowany w „pilotażowym” okresie od kwietnia do maja 2016 r. to program, mający na celu identyfikację i usuwanie luk w zabezpieczeniach, które wpływają na publiczne strony internetowe obsługiwane przez Departament Obrony Stanów Zjednoczonych (DoD). Od tego czasu rozszerzył program na inne departamenty, w tym „Hack the Army”. W sumie 1410 badaczy i łowców nagród zarejestrowało się, aby wziąć udział w kolejnych wyzwaniach. Spośród nich 250 etycznych hakerów odkryło w sumie 138 słabych punktów, które Defense Media Activity (DMA) uznały za ważne i wyjątkowe. W rezultacie DoD przyznało badaczom zajmującym się bezpieczeństwem około 75 000 USD w pierwszym roku programu.

W 2020 roku program nagradzania błędów Departamentu Obrony przyniósł odkrycie setki luk w zabezpieczeniach. Na przykład program „Hack the Army 2.0” odkrył ponad 145 błędów. „Hack the Air Force 4.0” odkrył jeszcze więcej, ponad 460 wad w kodzie.


HackerOne

Oczywiście najlepsze i najlepiej płatne programy wynajdowania błędów, można znaleźć w firmach technologicznych lub na stronach poświęconych konkretnym zagadnieniom. Warto tutaj zwrócić uwagę na HackerOne. Uruchomiony w 2013 roku program obejmuje dziewięć różnych domen. Na przykład na https://hackerone.com analitycy bezpieczeństwa mogą zarobić co najmniej 500 USD za wadę o niskim poziomie zagrożenia. Cena wzrasta do co najmniej 15 000 USD za krytyczną lukę. W przypadku pozostałych domen badacze mogą zarobić od 500 do 7500 USD za lukę w zabezpieczeniach o niskim i wysokim nasileniu.

HackerOne wyraźnie wyjaśnia na swojej stronie internetowej, że zaakceptuje błędy, które wykraczają poza zakres programu. Jako kilka przykładów wspomniał o wycieku poufnych danych, podatności, która wpływa na usługi firmy lub innym, podobnym zagrożeniu.
Zresztą w ostatni poniedziałek HackerOne opublikował listę firm, które wypłaciły najwięcej pieniędzy za pośrednictwem swoich programów.

10 najlepszych programów premiowych za błędy w HackerOne są obsługiwane przez Verizon Media, PayPal, Uber, Intel, Twitter, GitLab, Mail.ru, GitHub, Valve i Airbnb. Jest to oparte na tym, ile wypłacili od uruchomienia swojego programu do kwietnia 2020 r., Informacja nie obejmuje nagród z wydarzeń hackerskich na żywo. Verizon wypłaciła ponad 9,4 miliona USD od uruchomienia programu w lutym 2014 r., Z najwyższą nagrodą w wysokości 70 000 USD i średnim czasem pierwszej odpowiedzi wynoszącym 8 godzin. Warto zauważyć, że Verizon był również na szczycie listy w ubiegłym roku, ale do kwietnia 2019 r. Przyznał jedynie około 1,8 miliona dolarów.

PayPal, który w ubiegłym roku zajmował trzecią pozycję, zajął w tym roku drugie miejsce, z łączną kwotą prawie 2,8 mln USD wypłaconą między sierpniem 2018 r. A kwietniem 2020 r. Średni czas reakcji giganta płatności wynosił 4 godziny, a najwyższa nagroda wyniosła 30 000 USD.

Uber spadł z drugiego na trzecie miejsce, z ponad 2,4 mln USD wypłaconymi od grudnia 2014 r. I najwyższą nagrodą w wysokości 50 000 USD. Następny jest Intel, z prawie 1,9 mln USD wypłaconymi od marca 2017 r.

Twitter był na piątym miejscu z prawie 1,3 miliona dolarów przyznanych od maja 2014 r. Średni czas reakcji giganta w mediach społecznościowych wynosił 12 godzin, a średni czas na nagrodę to 8 dni, a maksymalna nagroda to nieco ponad 20 000 USD.

GitLab wypłacił łącznie 1,2 miliona USD, a następnie Mail.ru z 1,1 miliona USD. Obie firmy uruchomiły swoje programy w 2014 roku i obie nagrodziły główną nagrodę w wysokości 20 000 USD, ale GitLab ma najlepszy czas reakcji w pierwszej dziesiątce, jednej godziny.

GitHub, Valve i Airbnb zbliżały się do 1 miliona dolarów sumy nagród wypłaconych do kwietnia 2020 roku.

Liczba wypłacanych nagród stale się powiększa. Niedawno badacz bezpieczeństwa chciał kupić koledze kupon upominkowy do Starbuksa, zaczął zgłębiać system zamówień i natrafił na potencjalną ekspozycję 100 milionów rekordów. Dostał 40 000 USD z oficjalnego programu. HackerOne poinformował niedawno, że od października 2013 r. Łowcy nagród za błędy zarobili ponad 100 milionów dolarów tylko dzięki ich platformie. Więc może warto jeszcze raz wszystko przemyśleć i rzucić wszystko w cholerę? 🙂