7 Pembayaran karunia bug besar

Perusahaan teknologi pertama yang menawarkan hadiah bug - tempat pembayaran ditawarkan kepada peretas yang menemukan kerentanan dalam kode - adalah pembuat browser web; Netscape memulai sesuatu pada tahun 1995 dan Mozilla melakukan hal yang sama pada tahun 2004.

Tujuannya adalah membuat peretas memberi tahu perusahaan yang berisiko tentang bug sebelum eksploitasi diketahui publik. Ini adalah win-win untuk para peretas dan bisnis - mengapa memblokir orang-orang jahat ketika peretas yang lebih banyak dapat membantu meningkatkan keamanan?

Dalam beberapa tahun terakhir, perburuan bug telah menjadi bisnis besar dengan para pemain seperti Google, Facebook, Yahoo, dan Microsoft semuanya menawarkan jumlah besar. Banyak orang lain - seperti Tesla, Yelp, Reddit, Square, 1Password,, dan Uber - sejak bergabung dengan partai, tetapi karunia bug tidak terbatas pada perusahaan teknologi. Badan keuangan, layanan kesehatan, dan pemerintah menawarkan hadiah karena mereka sangat ingin tetap berada di depan pelanggaran besar berikutnya.

Karunia bug telah menjadi begitu biasa sehingga broker pihak ketiga seperti Bugcrowd dan HackerOne ada untuk menghubungkan peretas dengan uang hadiah. Sebagaimana dirinci dalam Laporan Hacker 2018 HackerOne, perusahaan telah membayar lebih dari $ 23 juta kepada 166.000 peretas di jaringannya saja, yang telah memperbaiki lebih dari 72.000 kerentanan. Itu adalah pekerjaan yang bagus - karena jauh lebih sedikit uang daripada hack yang sebenarnya dapat merugikan perusahaan dalam hal uang dan reputasi.

Jumlah pengguna terdaftar di komunitas HackerOne saja telah meledak sepuluh kali lipat, menurut laporan itu.

Secara alami, ada juga beberapa negatif. Exodus Intelligence, misalnya, menawarkan hadiah yang lebih tinggi daripada perusahaan besar. Itu kemudian menjual berlangganan ke perusahaan yang menyertakan info bug itu. Itu tidak selalu buruk - menemukan kerentanan itu penting. Tetapi seperti dicatat oleh Lisa Vaas dari Sophos, "pelanggan broker yang mengeksploitasi bisa berada di pihak orang baik - katakanlah, vendor antivirus yang ingin melindungi orang dari lubang yang baru ditemukan - atau bahwa mereka bisa saja menyerang, tertarik untuk menggunakan rahasia yang tidak diungkapkan. dieksploitasi untuk menargetkan sistem itu sendiri."

Di bawah, lihat beberapa pembayaran terbesar di bidang karunia bug. Jika Anda tahu tentang hadiah yang lebih besar, beri tahu kami di komentar.

Sumpah / Verizon Media

Pada bulan April 2018, organisasi yang sebelumnya dikenal sebagai Oath Inc. mengeluarkan $ 400.000 untuk 40 peserta dalam acara peretasan langsung HackerOne H1-415. Sumpah / Verizon Media, yang memiliki Yahoo dan AOL, kemudian membagikan $ 400 ribu lagi di acara terpisah pada November 2018 kepada peretas yang mengidentifikasi 159 kerentanan keamanan kritis.

Setelah suksesnya peristiwa bug bounty ini, perusahaan menciptakan program bounty bug konsolidasi, yang membayar $ 5 juta pada tahun 2018 kepada peretas dan peneliti yang menemukan bug dari berbagai tingkat ancaman di berbagai platform. ( Foto oleh Noam Galai / Getty Images untuk Verizon Media )



Microsoft

Microsoft mencapai tonggak tahun lalu dengan $ 2 juta pembayaran bug bug, setelah itu berhenti merilis informasi tentang karunia individu selain jumlah dan tingkat keparahan kasus. Tetapi hadiah terbesar yang diberikan kepada satu orang yang kita kenal adalah Vasilis Pappas, yang menerima $ 200.000 pada tahun 2012 ketika dia adalah seorang mahasiswa PhD Universitas Columbia. Pappas mengajukan solusi untuk masalah Pemrograman Berorientasi Kembali yang digunakan peretas untuk menyiasati kontrol keamanan, dan menciptakan kBouncer, sebuah program yang memitigasi apa pun yang tampak seperti ROP.



Google

Program Imbalan Kerentanan Google telah ada sejak tahun 2010. Sejak saat itu, Google telah membayar lebih dari $ 15 juta, $ 3, 4 juta di antaranya diberikan pada tahun 2018 (dan $ 1, 7 juta di antaranya berfokus pada bug di Android dan Chrome). Pembayaran tunggal terbesar tahun lalu adalah hadiah $ 41.000 untuk seorang peneliti yang tidak ditentukan. Dari karunia yang bersifat publik, Ezequiel Pereira yang berusia 19 tahun dari Uruguay menerima $ 36.000 karena menemukan bug Eksekusi Kode Jarak Jauh di konsol Platform Cloud Google.



HackerOne Millionaire

Seolah-olah kisah Pereira tidak cukup, kita harus menyebutkan seorang warga Amerika Selatan lain yang berusia 19 tahun yang membunuh permainan hadiah bug: pemain Argentina Santiago Lopez, orang pertama yang memperoleh penghasilan $ 1 juta tertinggi di platform HackerOne. Peretas yang belajar sendiri ini mengatakan bahwa ia memulai dengan menonton video YouTube dan membaca blog sendiri, tetapi hal yang memicu minatnya dalam peretasan? Apa lagi? Hacker film 1995. ( Foto oleh United Artists / Getty Images )



Facebook

Untuk perusahaan yang mengalami beberapa penyimpangan keamanan selama bertahun-tahun, tidak sepenuhnya mengejutkan bahwa Facebook akan bersemangat untuk menemukan dan mengatasi celah dan eksploitasi dalam kodenya. Program bounty bug jejaring sosial telah membayar $ 7, 5 juta sejak didirikan pada tahun 2011. Rekor pembayaran tunggal tertinggi sebelumnya di Facebook diberikan kepada Andrew Leonov, seorang peneliti keamanan Rusia yang dianugerahi $ 40.000 karena menemukan kelemahan keamanan dalam perangkat lunak keamanan pihak ketiga yang dapat mempengaruhi Facebook itu sendiri. Pembayaran rekor baru terjadi tahun lalu - $ 50, 000 untuk satu orang.



Departemen Pertahanan AS

Selama satu bulan di 2016, Departemen Pertahanan di bawah pemerintahan Obama secara harfiah mengatakan: "Retas Pentagon!" Dua ratus lima puluh peretas mencari bug dalam sistem agensi, dan menemukan 138 kerentanan layak ditutup. Pembayaran total untuk peretas adalah $ 150.000 - yang kemudian dikatakan Menteri Pertahanan Ashton Carter sekitar $ 850.000 lebih murah daripada biaya untuk mendapatkan audit keamanan profesional.

Pada tahun 2018, Departemen Pertahanan memperluas hackathon menjadi serangkaian program baru yang diselenggarakan oleh HackerOne, yang menargetkan sistem pemerintah yang dimiliki oleh Angkatan Darat, Angkatan Udara, Marinir, dan Sistem Perjalanan Pertahanan. Mereka memberikan gabungan $ 500.000 kepada peretas yang menemukan sekitar 5.000 kerentanan unik di seluruh database dan situs web pemerintah.



United Airlines: 1 Juta Mil

United Airlines tidak memberikan uang tunai, tetapi itu akan memberi Anda mil gratis. Banyak dari mereka. Sejumlah peneliti dianugerahi flyer miles tahun lalu, termasuk Olivier Beg, seorang peneliti keamanan berusia 19 tahun dari Belanda yang menerima 1 juta mil karena menemukan sekitar 20 bug berbeda dalam sistem maskapai. ( Foto oleh Nicolas Economou / NurPhoto via Getty Images )