7 enormi vincite di bug

Le prime aziende tecnologiche a offrire ricompense di bug, in cui il pagamento è offerto agli hacker che trovano vulnerabilità nel codice, sono state i produttori di browser web; Netscape ha dato il via alle cose nel 1995 e Mozilla ha fatto lo stesso nel 2004.

L'obiettivo è indurre gli hacker a informare un'azienda a rischio su un bug prima che l'exploit diventi noto pubblicamente. È vantaggioso per gli hacker e le aziende: perché bloccare i cattivi quando gli hacker più mercenari possono contribuire a rafforzare la sicurezza?

Negli ultimi anni, la caccia ai bug è diventata un grande affare con giocatori come Google, Facebook, Yahoo e Microsoft che offrono grandi somme. Molti altri, come Tesla, Yelp, Reddit, Square, 1Password e Uber, si sono uniti alla festa, ma i doni di bug non si limitano alle società tecnologiche. Le entità finanziarie, sanitarie e governative offrono doni perché sono disperate di stare davanti alla prossima grande violazione.

I doni di bug sono diventati così comuni che esistono broker di terze parti come Bugcrowd e HackerOne per collegare gli hacker con denaro in abbondanza. Come dettagliato nel Rapporto Hacker 2018 di HackerOne, la società ha versato oltre 23 milioni di dollari ai 166.000 hacker nella sua sola rete, che hanno risolto oltre 72.000 vulnerabilità. È un ottimo lavoro: per un prezzo molto inferiore rispetto a un vero hack può costare un'azienda in denaro e reputazione.

Il numero di utenti registrati nella sola comunità HackerOne è esploso di dieci volte, secondo il rapporto.

Naturalmente, ci sono anche alcuni aspetti negativi. Exodus Intelligence, ad esempio, offre taglie più elevate rispetto alle grandi aziende. Quindi vende un abbonamento alle aziende che include le informazioni sui bug. Ciò non è necessariamente negativo: trovare le vulnerabilità è importante. Ma come osserva Lisa Vaas di Sophos, "i clienti dei broker di exploit potrebbero stare dalla parte dei bravi ragazzi - diciamo, i fornitori di antivirus che vogliono proteggere le persone da buchi scoperti di recente - o che potrebbero essere in offensiva, interessati a usare il segreto sfrutta per indirizzare i sistemi stessi ".

Di seguito, dai un'occhiata ad alcuni dei più grandi pagamenti ancora nel campo ricco di taglie bug. Se conosci alcuni taglie più grandi, faccelo sapere nei commenti.

Oath / Verizon Media

Nell'aprile 2018, l'organizzazione precedentemente nota come Oath Inc. ha sborsato $ 400.000 a 40 partecipanti all'evento H1-415 di hacking dal vivo di HackerOne. Oath / Verizon Media, che possiede Yahoo e AOL, in seguito ha distribuito altri $ 400K in un evento separato nel novembre 2018 agli hacker che hanno identificato 159 vulnerabilità di sicurezza critiche.

Dopo il successo di questi eventi di bug bounty, la società ha creato un programma di bug bounty consolidato, che ha pagato $ 5 milioni nel 2018 a hacker e ricercatori che hanno trovato bug di vari livelli di minaccia su più piattaforme. ( Foto di Noam Galai / Getty Images per Verizon Media )



Microsoft

Microsoft ha raggiunto un traguardo l'anno scorso con $ 2 milioni in pagamenti di ricompense di bug, dopo di che ha smesso di rilasciare informazioni sui singoli premi oltre agli importi e alla gravità del caso. Ma la più grande ricompensa assegnata a una sola persona che conosciamo è Vasilis Pappas, che ha ricevuto $ 200.000 nel 2012 quando era uno studente di dottorato presso la Columbia University. Pappas ha presentato soluzioni per un problema di programmazione orientata al ritorno utilizzato dagli hacker per aggirare i controlli di sicurezza e ha creato kBouncer, un programma che mitiga tutto ciò che sembra ROP.



Google

Il programma di premi sulla vulnerabilità di Google risale al 2010. Da allora ha pagato oltre $ 15 milioni, $ 3, 4 milioni dei quali sono stati assegnati nel 2018 (e $ 1, 7 milioni dei quali si sono concentrati su bug in Android e Chrome). Il più grande pagamento singolo dell'anno scorso è stato una ricompensa di $ 41.000 per un ricercatore non specificato. Dei doni che sono pubblici, il diciannovenne Ezequiel Pereira dall'Uruguay ha ricevuto $ 36.000 per aver scoperto un bug di esecuzione di codice in modalità remota nella console di Google Cloud Platform.



HackerOne Millionaire

Come se la storia di Pereira non fosse abbastanza, dobbiamo menzionare un altro diciannovenne sudamericano che sta uccidendo il gioco di ricompense: l'argentino Santiago Lopez, la prima persona a guadagnare $ 1 milione di guadagni sulla piattaforma di HackerOne. L'hacker autodidatta afferma di aver iniziato guardando i video di YouTube e leggendo i blog da solo, ma la cosa che ha suscitato il suo interesse per l'hacking? Cos'altro? Il film del 1995 Hackers . ( Foto di United Artists / Getty Images )



Facebook

Per un'azienda che ha subito alcuni cali di sicurezza nel corso degli anni, non è del tutto sorprendente che Facebook sia desideroso di individuare e risolvere le lacune e gli exploit nel suo codice. Il programma di bug bounty del social network ha pagato $ 7, 5 milioni sin dalla sua istituzione nel 2011. Il precedente record di Facebook con il più alto pagamento singolo è andato a Andrew Leonov, un ricercatore di sicurezza russo che ha ricevuto $ 40.000 per aver scoperto un difetto di sicurezza in un software di sicurezza di terze parti che potrebbe influenzare Facebook stesso. Il nuovo record di pagamento è avvenuto l'anno scorso: $ 50.000 per una persona.



Dipartimento della Difesa degli Stati Uniti

Per un mese nel 2016, il DoD sotto l'amministrazione Obama ha letteralmente dichiarato: "Hack the Pentagon!" Duecentocinquanta hacker sono andati a caccia di bug nei sistemi dell'agenzia e hanno trovato 138 vulnerabilità che meritano di essere chiuse. Il pagamento totale per gli hacker è stato di $ 150.000, che all'epoca il segretario alla Difesa Ashton Carter ha dichiarato che era circa $ 850.000 in meno di quanto sarebbe costato ottenere un audit di sicurezza professionale.

Nel 2018, il Dipartimento della Difesa ha ampliato l'hackathon a una serie di nuovi programmi ospitati da HackerOne, che hanno preso di mira i sistemi governativi di proprietà dell'Esercito, dell'Aeronautica Militare e del Sistema di Difesa. Hanno assegnato $ 500.000 combinati agli hacker che hanno scoperto circa 5.000 vulnerabilità uniche in database e siti Web governativi.



United Airlines: 1 milione di miglia

United Airlines non distribuisce contanti, ma ti darà miglia gratuite. Molti di loro. L'anno scorso diversi ricercatori hanno ottenuto miglia di volantini, tra cui Olivier Beg, un ricercatore di sicurezza olandese di 19 anni che ha ricevuto 1 milione di miglia per aver trovato circa 20 diversi bug nei sistemi della compagnia aerea. ( Foto di Nicolas Economou / NurPhoto via Getty Images )