7 Riesige Bug-Bounty-Auszahlungen

Die ersten Technologiefirmen, die Bug Bounties anbieten, bei denen Hacker, die Schwachstellen im Code finden, Zahlungen erhalten, waren Webbrowser-Hersteller. Netscape startete 1995 und Mozilla 2004.

Ziel ist es, Hacker dazu zu bringen, ein gefährdetes Unternehmen über einen Fehler zu informieren, bevor der Exploit öffentlich bekannt wird. Es ist eine Win-Win-Situation für die Hacker und die Unternehmen - warum die bösen Jungs blockieren, wenn mehr Söldner-Hacker die Sicherheit stärken können?

In den letzten Jahren hat sich die Fehlersuche zu einem großen Geschäft entwickelt, da Spieler wie Google, Facebook, Yahoo und Microsoft große Summen anbieten. Viele andere - wie Tesla, Yelp, Reddit, Square, 1Password und Uber - haben sich seitdem der Party angeschlossen, aber Bug Bounties sind nicht auf Tech-Unternehmen beschränkt. Finanz-, Gesundheits- und Regierungseinrichtungen bieten Kopfgelder an, weil sie verzweifelt versuchen, dem nächsten großen Bruch einen Schritt voraus zu sein.

Bug Bounties sind mittlerweile so alltäglich, dass es Broker von Drittanbietern wie Bugcrowd und HackerOne gibt, die Hacker mit Kopfgeldern verbinden. Wie im Hacker-Bericht 2018 von HackerOne dargelegt, hat das Unternehmen allein an die 166.000 Hacker in seinem Netzwerk, die mehr als 72.000 Schwachstellen behoben haben, über 23 Millionen US-Dollar ausgezahlt. Das ist eine Menge guter Arbeit - für viel weniger Geld als ein echter Hack kann ein Unternehmen Geld und Ansehen kosten.

Allein die Anzahl der registrierten Benutzer in der HackerOne-Community hat sich laut dem Bericht verzehnfacht.

Natürlich gibt es auch einige Minuspunkte. Exodus Intelligence bietet zum Beispiel höhere Kopfgelder als die großen Unternehmen. Anschließend wird ein Abonnement an Unternehmen verkauft, das diese Fehlerinformationen enthält. Das ist nicht unbedingt schlecht - es ist wichtig, Schwachstellen zu finden. Laut Lisa Vaas von Sophos könnten "Kunden von Exploit-Brokern auf der Seite der Guten stehen - etwa von Antiviren-Anbietern, die Menschen vor neu entdeckten Sicherheitslücken schützen wollen - oder in der Offensive stehen und an der Nutzung von nicht genannten Sicherheitslücken interessiert sein Exploits, um die Systeme selbst anzugreifen."

Schauen Sie sich unten einige der größten Auszahlungen an, die es bisher auf dem Gebiet der Bug Bounties gab. Wenn du etwas größere Kopfgelder kennst, lass es uns in den Kommentaren wissen.

Eid / Verizon Media

Im April 2018 zahlte die zuvor unter dem Namen Oath Inc. bekannte Organisation 400.000 US-Dollar an 40 Teilnehmer des HackerOne-Live-Hacker-Ereignisses H1-415. Oath / Verizon Media, dem Yahoo und AOL gehören, teilte später bei einer separaten Veranstaltung im November 2018 weitere 400.000 US-Dollar an Hacker aus, die 159 kritische Sicherheitslücken identifizierten.

Nach dem Erfolg dieser Bug-Bounty-Events erstellte das Unternehmen ein konsolidiertes Bug-Bounty-Programm, das im Jahr 2018 5 Millionen US-Dollar an Hacker und Forscher auszahlte, die auf mehreren Plattformen Bugs mit unterschiedlichen Bedrohungsstufen entdeckten. ( Foto von Noam Galai / Getty Images für Verizon Media )



Microsoft

Microsoft hat im vergangenen Jahr einen Meilenstein mit Auszahlungen in Höhe von 2 Millionen US-Dollar für Bug Bountys erreicht. Danach wurden keine Informationen über einzelne Bountys mehr veröffentlicht, abgesehen von den Beträgen und dem Schweregrad der Fälle. Aber die größte Belohnung, die an eine uns bekannte Person vergeben wird, ist Vasilis Pappas, der 2012 als Doktorand an der Columbia University 200.000 US-Dollar erhielt. Pappas reichte Lösungen für ein Return-Oriented Programming-Problem ein, mit dem Hacker Sicherheitskontrollen umgehen, und entwickelte kBouncer, ein Programm, mit dem alles, was nach ROP aussieht, gemildert wird.



Google

Das Vulnerability Rewards-Programm von Google stammt aus dem Jahr 2010. Seitdem wurden mehr als 15 Millionen US-Dollar ausgezahlt, von denen 3, 4 Millionen US-Dollar im Jahr 2018 vergeben wurden (und 1, 7 Millionen US-Dollar sich auf Fehler in Android und Chrome konzentrierten). Die größte Einzelauszahlung im letzten Jahr war ein Kopfgeld in Höhe von 41.000 USD an einen nicht näher bezeichneten Forscher. Von den öffentlichen Prämien erhielt der 19-jährige Ezequiel Pereira aus Uruguay 36.000 US-Dollar, weil er einen Fehler bei der Remotecodeausführung in der Cloud-Plattform-Konsole von Google entdeckt hatte.



HackerOne Millionär

Als ob Pereiras Geschichte nicht genug wäre, müssen wir einen weiteren 19-jährigen Südamerikaner erwähnen, der das Bugs-Bounty-Spiel tötet: Santiago Lopez aus Argentinien, der als erster auf der HackerOne-Plattform über 1 Million Dollar verdient. Der autodidaktische Hacker sagte, er habe sich YouTube-Videos angesehen und Blogs selbst gelesen, aber was hat sein Interesse am Hacken geweckt? Was sonst? Der 1995er Film Hacker . ( Foto von United Artists / Getty Images )



Facebook

Für ein Unternehmen, das im Laufe der Jahre einige Sicherheitslücken hatte, ist es nicht verwunderlich, dass Facebook gerne Lücken und Exploits in seinem Code ausfindig machen und beheben würde. Das Bug-Bounty-Programm des sozialen Netzwerks hat seit seiner Einführung im Jahr 2011 7, 5 Millionen US-Dollar ausgezahlt. Andrew Leonov, ein russischer Sicherheitsforscher, erhielt den bisherigen Rekord der höchsten Einzelauszahlung. Er erhielt 40.000 US-Dollar, weil er einen Sicherheitsfehler in einer Sicherheitssoftware eines Drittanbieters entdeckt hatte könnte sich auf Facebook auswirken. Die neue Rekordauszahlung fand im letzten Jahr statt - coole 50.000 US-Dollar für eine Person.



US-Verteidigungsministerium

Für einen Monat im Jahr 2016 sagte das Verteidigungsministerium unter der Obama-Regierung wörtlich: "Hack the Pentagon!" Zweihundertfünfzig Hacker haben Bugs in den Systemen der Agentur aufgespürt und 138 Schwachstellen entdeckt, die es wert sind, beseitigt zu werden. Die Gesamtauszahlung an Hacker betrug 150.000 US-Dollar - was laut Verteidigungsminister Ashton Carter etwa 850.000 US-Dollar weniger war, als es kosten würde, eine professionelle Sicherheitsüberprüfung durchzuführen.

Im Jahr 2018 erweiterte das Verteidigungsministerium den Hackathon auf eine Reihe neuer Programme von HackerOne, die auf Regierungssysteme der Armee, der Luftwaffe, der Marines und des Verteidigungsreisesystems abzielten. Sie gewährten Hackern, die über 5.000 einzigartige Sicherheitslücken in Regierungsdatenbanken und -websites entdeckten, insgesamt 500.000 US-Dollar.



United Airlines: 1 Million Meilen

United Airlines gibt kein Bargeld aus, aber Sie erhalten kostenlose Meilen. Viele von ihnen. Eine Reihe von Forschern erhielten im vergangenen Jahr Flugmeilen, darunter Olivier Beg, ein 19-jähriger Sicherheitsforscher aus den Niederlanden, der eine Million Meilen erhielt, weil er etwa 20 verschiedene Fehler in den Systemen der Fluggesellschaft gefunden hatte. ( Foto von Nicolas Economou / NurPhoto über Getty Images )