Čo je to Bug Bounty a ako si ju môžete nárokovať?

Odmeny za chyby umožňujú ľuďom, ktorí objavia bezpečnostné chyby v počítačovom softvéri a službách, odmeniť peniazmi. Čo to teda znamená byť lovcom odmien a dá sa tým uživiť?

Čo sú programy bug Bounty?

Softvér a služby, ktoré používame každý deň, sú písané ľudskými bytosťami, ktoré sú často pod tlakom, aby svoj kód rozbehli tak, aby firma mohla zarábať peniaze. Zatiaľ čo moderné metódy vývoja softvéru vedú k softvéru s pozoruhodne malým počtom vážnych problémov, pre malú skupinu vývojárov neexistuje spôsob, ako predvídať každú možnosť alebo vidieť každú jednu chybu.

Porovnajte to s armádou hackerov, ktorí hľadajú každú možnú štrbinu v pancieri tohto kódu, a je jasné, prečo sú potrebné programy odmeňovania chýb. Tieto programy ponúkajú odmenu ľuďom, ktorí v poskytovaných aplikáciách a službách objavia dôveryhodnú zraniteľnosť alebo iný kvalifikovaný typ problému.

Kto si môže nárokovať odmeny za chyby?

V zásade nezáleží na tom, kto objaví zraniteľnosť alebo zneužitie. Dôležité je, aby o tom spoločnosť vedela a vyriešila problém skôr, ako povedie k skutočným škodám. V praxi si odmeny za chyby najčastejšie nárokujú profesionálni výskumníci v oblasti bezpečnosti. Sú to špecialisti, ktorí sa zámerne snažia nájsť slabé miesta v systémoch a buď dostanú zaplatené odmeny, alebo vopred urobia „penetračné testovanie“ pre spoločnosť.

To neznamená, že ho nemôžete nahlásiť, ak ho nájdete, ale musíte si vyhľadať požiadavky na odoslanie a zistiť, či máte technické informácie potrebné na nahlásenie problému.

Bug Bounty programy nie sú všetky rovnaké

Proces nároku na odmenu za chyby a to, čo vás oprávňuje na získanie platby, sa líši od jedného programu k druhému. Dotknutá spoločnosť stanovuje pravidlá toho, čo považuje za problém, ktorý stojí za to vedieť. Nastaví tiež správny formát na hlásenie tohto problému spolu so všetkými vecami, ktoré potrebuje vedieť na replikáciu a overenie problému.

Množstvo peňazí, ktoré má overená správa, sa bude tiež líšiť. Niektoré spoločnosti sú obrovské, s veľkými rozpočtami na bezpečnosť. Iné sú malé podniky alebo začínajúce podniky, ktoré sa spoliehajú na programy odmeňovania chýb, aby nahradili relatívne malý počet stálych zamestnancov v oblasti kybernetickej bezpečnosti. V takom prípade môžu byť odmeny skromnejšie.

Kde nájsť programy odmeny chýb

Prvým miestom, kde môžete skontrolovať, či narazíte na zraniteľnosť podliehajúcu hláseniu, je webová stránka spoločnosti, ktorá vyrába daný produkt alebo ponúka príslušnú službu. Vo všeobecnosti sú to len veľmi veľké spoločnosti, ktoré prevádzkujú a spravujú svoje vlastné programy odmeňovania chýb.

Menšie outfity s väčšou pravdepodobnosťou využívajú špecializované bug bounty služby. Napríklad zoznam programov odmeny za chyby od spoločnosti HackerOne propaguje programy od rôznych spoločností, ktoré sú spravované prostredníctvom webu.

Koľko platia odmeny za chyby?

Ak ste navštívili zoznam odmien za chyby HackerOne prepojený vyššie, možno ste si všimli, že každý program uvádza minimálnu odmenu. Ak otvoríte jeden z programov, uvidíte štatistiky o priemernej výplate odmeny, ako aj o úrovniach odmien v závislosti od závažnosti zraniteľnosti.

Problémy s nízkou, strednou a vysokou závažnosťou môžu priniesť niekoľko stoviek až tisíc dolárov, zatiaľ čo kritické zraniteľnosti môžu zaplatiť niekoľko tisíc dolárov.

V priebehu rokov boli vyplatené niektoré skutočne ohromujúce odmeny a obrovské ponuky, ale tieto sú niečo ako výhra v lotérii. Musíte byť tým, kto sa stane zneužitím jedného z milióna a musí to byť v systéme veľkého hráča, ktorý má tento typ hotovosti. Ak si chcete zarobiť na odmenách za chyby, je pravdepodobnejšie, že budete mať stabilný príjem z malých bežných chýb, ktoré sa objavia prostredníctvom systematického penetračného testovania.