Это платформой пользуются все — от порно-провайдеров до армии США, давайте же посмотрим, какие же из их программ были наиболее финансово привлекательными в этом году?
Программы Bug Bounty — это способ аутсорсинга за пределы собственной службы безопасности услуг по проверке сайтов, приложений и сети, к которому поставщики ПО прибегают для того, чтобы как можно больше людей оценило потенциальные проблемы безопасности прежде, чем до них доберутся хакеры и воспользуются ими.
Apple, Microsoft, Google и другие компании предлагают собственные программы Bug Bounty — как открытые, так и исключительно по приглашению. Вознаграждения по ним иногда достигают 200 тыс. долл. за наиболее серьезные изъяны, способные подвергнуть пользователей большому риску.
Вместе с тем теперь компании могут аутсорсить даже проведение самих программ Bug Bounty, при этом часто предлагая тестировщикам заманчивое финансовое поощрение за анализ своих продуктов.
Хотя в рамках нескольких частных, доступных по приглашению программ Bug Bounty, размещенных на специализированной платформе HackerOne, за обнаружение наиболее серьезных ошибок предлагается вознаграждение до 30 тыс. долл., тестировщики могут получить вполне внушительную награду и при участии в публичных Bug Bounty.
Ниже представлены наиболее привлекательные программы Bug Bounty в 2016 г. по рейтингу HackerOne.
1. PornHub. В рамках запущенной в мае этого года программе Bug Bounty ресурса PornHub уже отправили свои отчеты и получили благодарность от компании 311 хакеров за работу над поиском дыр в безопасности веб-сайтов порно-провайдера.
Наивысшая награда по этой программе на сумму 20 тыс. долл. была присуждена в июле тестировщику с ником Static за раскрытие уязвимости, позволяющей дистанционно запускать вирусы.
Всего за обнаружение багов PornHub выплатил денежных вознаграждений на сумму 150 420 долл. Сервис начали взламывать уже через несколько дней после старта Bug Bounty.
2. LocalTapiola. По результатам программы Bug Bounty финского страхового гиганта, запущенной приблизительно восемь месяцев назад, хакеры получили ряд наиболее выгодных премий на платформе.
Один из экспертов по безопасности недавно получил 18 тыс. долл. за обнаружение критической ошибки, а за нахождение серьезных, непредвиденных ошибок любому хакеру предлагается 50 тыс. долл.
И хотя эту максимальную сумму пока никто не получил, количество сообщений о багах повысилось на 50% после того, как LocalTapiola подняла планку вознаграждений. Всего были исправлены ошибки по 38 отчетам, и 40 хакеров получили благодарность.
3. Twitter. Программа Bug Bounty платформы для микроблогеров Twitter по праву считается популярным способом зарабатывания дополнительного дохода для специалистов по безопасности.
Более 365 хакеров отправили заявки об уязвимостях, при этом в сервисе было исправлено 549 проблем. Полгода назад одному хакеру выплатили 15 120 долл. за сообщение о критической ошибке.
Всего через платформу HackerOne они заплатили 561 980 долл.
4. Snapchat. Предлагаемая сервисом отправки сообщений Snapchat программа Bug Bounty, запущенная два года назад, пользуется относительным успехом: на сегодняшний день по ней получили вознаграждения 125 экспертов по безопасности на общую сумму свыше 70 тыс. долл. Минимальная сумма, предлагаемая за сообщение о реальной ошибке, равняется 100 долл., но некоторые тестировщики ухитрились заработать 10 тыс. долл. при максимальной награде в 15 тыс. долл.
5. Uber. Участникам программы Bug Bounty сервиса для вызова такси Uber (среднее время отклика на сообщения составляет около одного дня) предлагается искать баги и на веб-сайте Uber, и в их мобильном приложении. Приветствуется обнаружение любых ошибок — от случаев межсайтового скриптинга (XSS) до дистанционного выполнения кода.
На сегодняшний день награду получили уже 466 исследователя, а максимальная премия эквивалентна 10 тыс. долл. Средний размер выплат варьируется от 759 до 1000 долл.
6. Hack the Pentagon. В Bug Bounty решило попробовать свои силы и правительство США, учредив программу Hack the Pentagon (хакни Пентагон). Эту программу запустили в марте, и длилась она 24 дня, причем за этот срок удалось закрыть 138 уязвимостей, а тестировщики в совокупности получили 70 тыс. долл. Наивысшей наградой в рамках этой Bug Bounty стала сумма в 3500 долл., а в среднем размер выплат составлял 588 долл.
Программа оказалась настолько успешной, что была учреждена новая программа, Hack the Army (хакни армию). Ее цель — побудить тестировщиков найти бреши в безопасности публичных интерфейсов армии США за вознаграждение в тысячи долларов.