7 Enorme uitbetaling voor bugs

De eerste techbedrijven die bugbounties aanboden - waarbij betaling wordt aangeboden aan hackers die kwetsbaarheden in de code vinden - waren makers van webbrowsers; Netscape begon in 1995 en Mozilla deed hetzelfde in 2004.

Het doel is om hackers een risicobedrijf te laten informeren over een bug voordat de exploit publiek bekend wordt. Het is een win-win voor de hackers en de bedrijven - waarom de slechteriken blokkeren wanneer de meer huursoldaten hackers kunnen helpen de beveiliging te verbeteren?

In de afgelopen jaren is het zoeken naar bugs big business geworden met spelers als Google, Facebook, Yahoo en Microsoft die allemaal grote bedragen aanbieden. Tal van anderen - zoals Tesla, Yelp, Reddit, Square, 1Password en Uber - zijn sindsdien toegetreden tot de partij, maar de premies voor bugs zijn niet beperkt tot technische bedrijven. Financiering, gezondheidszorg en overheidsinstanties bieden premies omdat ze wanhopig zijn om de volgende grote inbreuk voor te blijven.

Bugbijdragen zijn zo alledaags geworden dat externe makelaars zoals Bugcrowd en HackerOne bestaan ​​om hackers met premiegeld te verbinden. Zoals gedetailleerd beschreven in HackerOne's Hacker Report 2018, heeft het bedrijf alleen al de 166.000 hackers in zijn netwerk meer dan $ 23 miljoen uitbetaald, die meer dan 72.000 kwetsbaarheden hebben opgelost. Dat is veel goed werk - voor veel minder geld dan een echte hack kan een bedrijf geld en reputatie kosten.

Alleen al het aantal geregistreerde gebruikers in de HackerOne-gemeenschap is volgens het rapport vertienvoudigd.

Natuurlijk zijn er ook enkele minpunten. Exodus Intelligence biedt bijvoorbeeld hogere premies dan de grote bedrijven. Vervolgens wordt een abonnement aan bedrijven verkocht dat die buginformatie bevat. Dat is niet noodzakelijk slecht - het vinden van kwetsbaarheden is belangrijk. Maar zoals Lisa Vaas van Sophos opmerkt, "kunnen klanten van makelaars exploiteren aan de kant van de good guys - laten we zeggen, antivirusverkopers die mensen willen beschermen tegen nieuw ontdekte gaten - of dat ze aanstootgevend kunnen zijn en geïnteresseerd zijn in het gebruik van geheime informatie exploiteert om zich op systemen te richten."

Bekijk hieronder enkele van de grootste uitbetalingen tot nu toe op het gebied van overvloedige bugs. Als u op de hoogte bent van enkele grotere premies, laat het ons dan weten in de comments.

Eed / Verizon Media

In april 2018 heeft de organisatie die voorheen bekend stond als Oath Inc. $ 400.000 tot 40 deelnemers in het live hacking H1-415-evenement van HackerOne. Oath / Verizon Media, die Yahoo en AOL bezit, heeft later in november 2018 nog eens $ 400K uitgedeeld aan hackers die 159 kritieke beveiligingsproblemen hebben geïdentificeerd.

Na het succes van deze bug bounty-evenementen, creëerde het bedrijf een geconsolideerd bug bounty-programma, dat in 2018 $ 5 miljoen uitbetaalde aan hackers en onderzoekers die bugs van verschillende dreigingsniveaus vonden op meerdere platforms. ( Foto door Noam Galai / Getty Images voor Verizon Media )



Microsoft

Microsoft heeft vorig jaar een mijlpaal bereikt met $ 2 miljoen aan bounty-uitbetalingen, waarna het is gestopt met het vrijgeven van informatie over individuele premies naast de bedragen en de ernst van de zaak. Maar de grootste premie die wordt toegekend aan een enkele persoon die we kennen, is Vasilis Pappas, die in 2012 $ 200.000 ontving toen hij een promovendus aan de Columbia University was. Pappas diende oplossingen in voor een Return-Oriented Programming-probleem dat hackers gebruikten om beveiligingscontroles te omzeilen, en creëerde kBouncer, een programma dat alles wat op ROP lijkt te verzachten.



Google

Google's Vulnerability Rewards-programma dateert uit 2010. Het heeft sindsdien meer dan $ 15 miljoen uitbetaald, waarvan $ 3, 4 miljoen werd toegekend in 2018 (en $ 1, 7 miljoen die gericht waren op bugs in Android en Chrome). De grootste uitbetaling vorig jaar was een premie van $ 41.000 aan een niet-gespecificeerde onderzoeker. Van de premies die openbaar zijn, ontving de 19-jarige Ezequiel Pereira uit Uruguay $ 36.000 voor het ontdekken van een Remote Code Execution-bug in de Cloud Platform-console van Google.



HackerEen miljonair

Alsof het verhaal van Pereira niet genoeg is, moeten we nog een 19-jarige Zuid-Amerikaan noemen die de bug bounty-game doodt: de Argentijnse Santiago Lopez, de eerste persoon die $ 1 miljoen verdiende op het HackerOne-platform. De autodidactische hacker zegt dat hij is begonnen met het bekijken van YouTube-video's en het lezen van blogs op zijn eigen, maar het ding dat zijn interesse in hacken deed opkomen? Wat nog meer? De film Hackers uit 1995. ( Foto door United Artists / Getty Images )



Facebook

Voor een bedrijf dat in de loop der jaren een paar beveiligingslekken heeft meegemaakt, is het niet geheel verrassend dat Facebook enthousiast zou zijn om mazen en exploitaties in zijn code te vinden en aan te pakken. Het bug bounty-programma van het sociale netwerk heeft sinds de oprichting in 2011 $ 7, 5 miljoen uitbetaald. Facebook's vorige record van hoogste enkele uitbetaling ging naar Andrew Leonov, een Russische beveiligingsonderzoeker die $ 40.000 kreeg voor het ontdekken van een beveiligingsfout in een beveiligingssoftware van derden die kan Facebook zelf beïnvloeden. De nieuwe recorduitbetaling gebeurde vorig jaar - een coole $ 50.000 voor één persoon.



Amerikaanse ministerie van defensie

Gedurende een maand in 2016 zei de DoD onder de Obama-administratie letterlijk: "Hack the Pentagon!" Tweehonderdvijftig hackers gingen achter bugs aan in de systemen van het bureau en vonden 138 kwetsbaarheden die de moeite waard waren om te worden afgesloten. De totale uitbetaling aan hackers was $ 150.000, wat volgens minister van Defensie Ashton Carter ongeveer $ 850.000 minder was dan het zou hebben gekost om een ​​professionele beveiligingsaudit te krijgen.

In 2018 heeft Defensie de hackathon uitgebreid met een hele reeks nieuwe programma's van HackerOne, die gericht waren op overheidssystemen van het leger, de luchtmacht, mariniers en het defensiereisysteem. Ze hebben samen $ 500.000 toegekend aan hackers die ongeveer 5.000 unieke kwetsbaarheden in overheidsdatabases en websites hebben ontdekt.



United Airlines: 1 miljoen mijl

United Airlines geeft geen contant geld uit, maar geeft u wel gratis mijlen. Veel van hen. Vorig jaar kregen een aantal onderzoekers flyer-miles, waaronder Olivier Beg, een 19-jarige beveiligingsonderzoeker uit Nederland die 1 miljoen miles ontving voor het vinden van ongeveer 20 verschillende bugs in de systemen van de luchtvaartmaatschappij. ( Foto door Nicolas Economou / NurPhoto via Getty Images )