7 دفعات فضله علة كبيرة

كانت أول شركات التقنية التي تقدم مكافآت الأخطاء - حيث يتم تقديم الدفع للمتسللين الذين يجدون نقاط ضعف في التعليمات البرمجية - من صانعي مستعرضات الويب ؛ بدأت شركة Netscape في عام 1995 وفعلت Mozilla نفس الشيء في عام 2004.

الهدف هو حث المتسللين على إخبار شركة معرضة للخطر حول خلل قبل أن يصبح المستغل معروفًا على الملأ. إنه فوز للقراصنة والشركات - لماذا تمنع الأشرار عندما يتمكن المزيد من المتسللين المرتزقة من المساعدة في تعزيز الأمن؟

في السنوات الأخيرة ، أصبح اصطياد الحشرات من الشركات الكبرى مع لاعبين مثل Google و Facebook و Yahoo و Microsoft الذين يقدمون مبالغ كبيرة. انضم الكثيرون منذ ذلك الحين - مثل Tesla و Yelp و Reddit و Square و 1Password و Uber - إلى الحفلة ، ولكن مكافآت الأخطاء لا تقتصر على شركات التكنولوجيا. تقدم المؤسسات المالية والرعاية الصحية والجهات الحكومية مكافآت لأنهم يائسون في البقاء في صدارة الاختراق الرئيسي التالي.

أصبحت مكافآت الأخطاء أمرًا شائعًا لدرجة أن وسطاء الطرف الثالث مثل Bugcrowd و HackerOne موجودون لربط المتسللين بأموال المكافآت. كما هو مفصل في تقرير هاكر 2018 الصادر عن Hacker ، دفعت الشركة أكثر من 23 مليون دولار إلى المتسللين البالغ عددهم 166000 في شبكتها وحدها ، والذين قاموا بتثبيت أكثر من 72000 نقطة ضعف. هذا كثير من العمل الجيد - مقابل نقود أقل بكثير مما يمكن أن يكلفه الاختراق الحقيقي للشركة من حيث المال والسمعة.

عدد المستخدمين المسجلين في مجتمع HackerOne وحده انفجر عشرة أضعاف ، وفقًا للتقرير.

بطبيعة الحال ، هناك أيضا بعض السلبيات. تقدم Exodus Intelligence ، على سبيل المثال ، مكافآت أعلى من الشركات الكبيرة. ثم تبيع اشتراكًا للشركات التي تتضمن معلومات الخطأ هذه. هذا ليس بالأمر السيئ بالضرورة - من المهم العثور على نقاط الضعف. ولكن ، كما تلاحظ ليزا فاس ، من Sophos ، "يمكن أن يستغل عملاء السماسرة إلى جانب الأشخاص الجيدين - على سبيل المثال ، بائعي برامج مكافحة الفيروسات الذين يرغبون في حماية الأشخاص من الثقوب المكتشفة حديثًا - أو أنهم قد يكونون في موقع الهجوم ، المهتمين باستخدام غير معلن يستغل لاستهداف النظم نفسها."

أدناه ، ألقِ نظرة على عدد قليل من أكبر الدفعات في الحقل الوفير من مكافآت الأخطاء. إذا كنت تعرف بعض المكافآت الأكبر ، فأخبرنا في التعليقات.

القسم / فيريزون ميديا

في أبريل 2018 ، قامت المنظمة المعروفة سابقًا باسم Oath Inc. بسحب مبلغ 400،000 إلى 40 مشاركًا في حدث H1-415 الذي قام به HackerOne. قامت شركة Oath / Verizon Media ، التي تمتلك Yahoo و AOL ، بتخصيص 400 ألف دولار أخرى في حدث منفصل في نوفمبر 2018 للمتسللين الذين حددوا 159 نقطة ضعف أمنية حرجة.

بعد نجاح أحداث مكافأة الأخطاء ، أنشأت الشركة برنامج مكافآت الأخطاء ، الذي دفع 5 ملايين دولار في عام 2018 للقراصنة والباحثين الذين وجدوا أخطاء من مستويات التهديد المختلفة عبر منصات متعددة. ( تصوير: نعوم غالاي / غيتي إيماجز من فيريزون ميديا )



مايكروسوفت

لقد وصلت شركة Microsoft إلى حدث بارز في العام الماضي حيث بلغت مليوني دولار من مدفوعات مكافأة الأخطاء ، وبعد ذلك توقفت عن إصدار معلومات حول المكافآت الفردية بالإضافة إلى المبالغ وشدة القضية. لكن أكبر مكافأة تُمنح لشخص واحد نعرفه هي فاسيليس باباس ، الذي حصل على 200،000 دولار في عام 2012 عندما كان طالبًا بجامعة كولومبيا في الدكتوراه. قدمت Pappas حلولًا لمشكلة البرمجة الموجهة نحو العائدات والتي اعتاد المتسللون اختراقها على عناصر التحكم في الأمان ، وقاموا بإنشاء kBouncer ، وهو برنامج يعمل على تخفيف أي شيء يشبه ROP.



جوجل

يعود برنامج مكافآت الثغرات الأمنية من Google إلى عام 2010. ومنذ ذلك الحين دفع أكثر من 15 مليون دولار ، منها 3.4 مليون دولار تم منحها في عام 2018 (و 1.7 مليون دولار منها تركز على الأخطاء في Android و Chrome). وكان أكبر مبلغ فردي دفع في العام الماضي منحة قدرها 41000 دولار لباحث غير محدد. من بين المنح العامة ، تلقى Ezequiel Pereira ، البالغ من العمر 19 عامًا من أوروغواي ، 36000 دولار لاكتشاف خطأ تنفيذ التعليمات البرمجية عن بُعد في وحدة التحكم في Cloud Platform من Google.



هاكر وان مليونير

كما لو أن قصة بيريرا ليست كافية ، يجب أن نذكر أمريكا الجنوبية الأخرى البالغة من العمر 19 عامًا والتي تقتل لعبة المكافآت: الأرجنتيني سانتياغو لوبيز ، أول شخص يحصل على أرباح قدرها مليون دولار على منصة HackerOne. يقول المتسلل الذي يدرس نفسه إنه بدأ بدايته بمشاهدة مقاطع فيديو YouTube وقراءة المدونات من تلقاء نفسه ، لكن الشيء الذي أثار اهتمامه بالقرصنة؟ ماذا بعد؟ فيلم 1995 المتسللين . ( تصوير فنانين متحدين / غيتي إيماجز )



موقع التواصل الاجتماعي الفيسبوك

بالنسبة لشركة تعاني من بعض الهفوات الأمنية على مر السنين ، فليس من المستغرب تمامًا أن يكون فيسبوك حريصًا على تحديد الثغرات ومعالجتها واستغلالها في الكود. دفع برنامج مكافآت الأخطاء على الشبكة الاجتماعية 7.5 مليون دولار منذ إنشائه في عام 2011. ذهب سجل Facebook السابق بأعلى دفع فردي إلى أندرو ليونوف ، باحث الأمن الروسي الذي حصل على 40،000 دولار لاكتشاف عيب أمني في برنامج أمان تابع لجهة خارجية يمكن أن تؤثر على Facebook نفسها. حدث دفع تعويضات جديد في العام الماضي - وهو مبلغ بارد قدره 50،000 دولار لشخص واحد.



وزارة الدفاع الأمريكية

لمدة شهر واحد في عام 2016 ، قالت وزارة الدفاع تحت إدارة أوباما حرفيا: "هاك البنتاغون!" ذهب مائتان وخمسون من المتسللين بعد الخلل في أنظمة الوكالة ، وجدت 138 نقاط الضعف يستحق إغلاق. كان إجمالي المدفوعات للقراصنة 150 ألف دولار ، وهو ما قاله وزير الدفاع آنذاك أشتون كارتر إن ما يقرب من 850 ألف دولار كان أقل من تكلفة الحصول على تدقيق أمني احترافي.

في عام 2018 ، وسعت وزارة الدفاع الاختراق إلى عدد كبير من البرامج الجديدة التي استضافتها HackerOne ، والتي استهدفت الأنظمة الحكومية المملوكة للجيش والقوات الجوية ومشاة البحرية ونظام الدفاع السفر. منحوا مجتمعة 500،000 دولار للمتسللين الذين اكتشفوا حوالي 5000 نقاط ضعف فريدة من نوعها عبر قواعد البيانات والمواقع الحكومية.



الخطوط الجوية المتحدة: 1 مليون ميل

لا تقدم شركة الخطوط الجوية المتحدة نقودًا ، ولكنها ستمنحك أميالًا مجانية. الكثير منهم. حصل عدد من الباحثين على أميال المسافر في العام الماضي ، بما في ذلك أوليفييه ، الباحث الأمني ​​البالغ من العمر 19 عام من هولندا الذي تلقى مليون ميل لإيجاد حوالي 20 خطأ مختلف في أنظمة شركة الطيران. ( تصوير نيكولاس إكونومو / نور فوتو عبر غيتي إيماجز )