目次:
ビデオ: ãçã»ifæ¦è¨ããã¼ã·ã£ã¤ã³ã¹ã¿æ¦ããã¹æ¦ã (10月 2024)
コードの脆弱性を発見したハッカーに支払いを提供するバグ報奨金を提供する最初のテクノロジー企業は、Webブラウザーのメーカーでした。 Netscapeは1995年に始まり、Mozillaは2004年に同じことをしました。
目標は、ハッカーがこのエクスプロイトが公表される前に、リスクのある会社にバグについて知らせるようにすることです。 それは、ハッカーと企業にとって有利なことです。more兵が多いほどハッカーがセキュリティを強化できるのに、なぜ悪者をブロックするのでしょうか。
近年、バグハンティングは、Google、Facebook、Yahoo、Microsoftなどのプレイヤーがすべて多額の資金を提供する大企業になりました。 Tesla、Yelp、Reddit、Square、1Password、およびUberのような他の多くの人がパーティーに参加しましたが、バグ報奨金はハイテク企業に限定されません。 金融、医療、および政府機関は、次の重大な違反に先んじてとどまることを切望しているため、報奨金を提供します。
バグ報奨金は非常に一般的になっているため、BugcrowdやHackerOneなどのサードパーティブローカーが存在し、ハッカーと報奨金を結び付けています。 HackerOneの2018 Hacker Reportに詳述されているように、同社は72, 000以上の脆弱性を修正したネットワークだけで166, 000人のハッカーに2, 300万ドル以上を支払いました。 それは多くの良い仕事です。真のハックよりもはるかに少ないお金で、会社にお金と評判を犠牲にすることができます。
レポートによると、HackerOneコミュニティだけで登録ユーザーの数は10倍に増えました。
当然、いくつかのネガもあります。 たとえば、Exodus Intelligenceは、大企業よりも高い賞金を提供します。 次に、そのバグ情報を含むサブスクリプションを企業に販売します。 それは必ずしも悪いことではありません。脆弱性を見つけることが重要です。 しかし、ソフォスのLisa Vaas氏は、「エクスプロイトブローカーの顧客は、新たに発見された穴から人々を保護したいアンチウイルスベンダーのような側にいる可能性があります。システム自体を標的にするエクスプロイト。」
以下では、バグ報奨金の豊富な分野での最大の支払いのいくつかを見てみましょう。 大きな賞金について知っている場合は、コメントでお知らせください。
Oath / Verizon Media
2018年4月、以前Oath Inc.として知られていた組織は、HackerOneのライブハッキングH1-415イベントで40万人に40万ドルを払いました。 ヤフーとAOLを所有するOath / Verizon Mediaは、2018年11月に別のイベントで159の重大なセキュリティ脆弱性を特定したハッカーにさらに40万ドルを寄付しました。
これらのバグ報奨金イベントが成功した後、同社は統合されたバグ報奨金プログラムを作成し、複数のプラットフォームでさまざまな脅威レベルのバグを発見したハッカーや研究者に2018年に500万ドルを支払いました。 ( 写真:Verizon MediaのNoam Galai / Getty Images )
マイクロソフト
マイクロソフトは昨年、200万ドルのバグ報奨金の支払いでマイルストーンに達し、その後、金額とケースの重大度以外の個々の報奨金に関する情報の公開を停止しました。 しかし、私たちが知っている一人の人に授与される最大の賞金は、コロンビア大学博士課程の学生だった2012年に20万ドルを受け取ったヴァシリス・パパスです。 Pappasは、ハッカーがセキュリティ制御を回避するために使用するReturn-Oriented Programming問題の解決策を提出し、ROPのようなものを軽減するプログラムであるkBouncerを作成しました。
グーグル
GoogleのVulnerability Rewards Programは2010年にさかのぼります。それ以来、1500万ドル以上を支払い、そのうちの340万ドルは2018年に授与されました(そのうち170万ドルはAndroidとChromeのバグに焦点を当てています)。 昨年の最大の単一支払いは、不特定の研究者への41, 000ドルの報奨金でした。 公開されている賞金のうち、19歳のウルグアイ出身のエゼキエルペレイラは、GoogleのCloud Platformコンソールでリモートコード実行のバグを発見したことで36, 000ドルを受け取りました。
HackerOne Millionaire
ペレイラの話だけでは不十分なように、バグバウンティゲームを殺している別の19歳の南米人、アルゼンチンのサンティアゴロペス、HackerOneのプラットフォームで100万ドルの収益を獲得した最初の人物について言及する必要があります。 独学のハッカーは、自分でYouTubeビデオを見てブログを読むことから始めたと言いますが、ハッキングに興味を持ち始めたのはなぜですか? ほかに何か? 1995年の映画 ハッカー 。 ( 写真:United Artists / Getty Images )
フェイスブック
長年にわたっていくつかのセキュリティ上の問題を経験した企業にとって、Facebookがコードの抜け穴や悪用を見つけて対処することに熱心であることはまったく驚くべきことではありません。 ソーシャルネットワークのバグバウンティプログラムは、2011年の開始以来、750万ドルを支払いました。Facebookの過去最高のシングルペイアウトの記録は、ロシアのセキュリティ研究者であるAndrew Leonovに送られました。 Facebook自体に影響を与える可能性があります。 昨年、新しい記録の支払いが行われました。1人に5万ドルというすばらしい金額です。
米国国防総省
2016年の1か月間、オバマ政権下のDoDは文字通り「ペンタゴンをハックしてください!」 200人のハッカーが代理店のシステムのバグを追跡し、138の脆弱性を発見しました。 ハッカーへの合計支払い額は15万ドルでした。アシュトンカーター国防長官は、プロのセキュリティ監査を受けるのにかかる費用よりも約850, 000ドル少ないと言いました。
2018年、国防総省はハッカソンをHackerOneがホストする多数の新しいプログラムに拡大し、軍、空軍、海兵隊、および防衛旅行システムが所有する政府システムを対象にしました。 彼らは政府のデータベースとウェブサイトで約5, 000のユニークな脆弱性を発見したハッカーに合計50万ドルを与えました。
ユナイテッド航空:100万マイル
ユナイテッド航空は現金を提供しませんが、無料のマイルを提供します。 それらの多くは。 昨年、オランダの19歳のセキュリティ研究者Olivier Begを含む多くの研究者にフライヤーマイルが授与されました。OlivierBegは、航空会社のシステムで約20種類のバグを発見して100万マイルを受け取りました。 ( 写真:Nicolas Economou / NurPhoto、ゲッティイメージズ経由 )
