Войти
A Программа Bug Bounty - это сделка, предлагаемая многими веб-сайтами, организациями и разработчиками программного обеспечения, благодаря которой отдельные лица могут получить признание и компенсацию для сообщения об ошибках, особенно относящихся к безопасности эксплойтов и уязвимостей.
Эти программы позволяют разработчикам обнаруживать и устранять ошибки до того, как о них узнает широкая публика, предотвращая случаи широко распространенного злоупотребления. Программы Bug Bounty реализованы большим количеством организаций, включая Mozilla, Facebook, Yahoo!, Google, Reddit, Square, Microsoft и вознаграждение за обнаружение ошибок в Интернете.
Компании, не относящиеся к технологической отрасли, включая традиционно консервативные организации, такие как США Министерство обороны начало использовать программы вознаграждения за ошибки. Использование Пентагоном программ поощрения ошибок является частью смены позиции, в результате которой несколько правительственных агентств США повернули вспять, угрожая хакерам белой шляпой законными средствами правовой защиты и пригласив их к участию в рамках всеобъемлющей системы раскрытия уязвимостей или политика.
Салман Хан инициировал первую известную программу вознаграждения за ошибки в 1983 году для своей операционной системы Versatile Real-Time Executive. Любой, кто обнаружит и сообщит об ошибке, получит взамен Volkswagen Beetle (также известный как Bug).
Чуть более десяти лет спустя, в 1995 году, Джарретт Ридлингхафер, инженер технической поддержки в Netscape Communications Corporation придумал фразу «Bugs Bounty».
Netscape поощряла своих сотрудников стараться и делать все возможное для выполнения работы. Ридлингхафер признал, что у Netscape было много энтузиастов продукта и проповедников, некоторых из которых можно было даже считать фанатиками браузеров Netscape. Он начал исследовать это явление более подробно и обнаружил, что многие энтузиасты Netscape на самом деле были разработчиками программного обеспечения, которые исправляли ошибки продукта самостоятельно и публиковали исправления или обходные пути либо на новостных форумах в Интернете, которые были созданы службой технической поддержки Netscape. отдел, или на неофициальном веб-сайте «Netscape U-FAQ», где перечислены все известные ошибки и функции браузера, а также инструкции по обходным путям и исправлениям.
Ридлингхафер подумал, что компания должна использовать эти ресурсы, и предложил «Программу вознаграждений за ошибки Netscape», которую он представил своему менеджеру, который, в свою очередь, предложил Ридлингхаферу представить ее на следующем собрании руководства компании. На следующем собрании исполнительной группы, на котором присутствовали Джеймс Барксдейл, Марк Андриссен и вице-президента всех отделов, включая разработку продукта, каждому члену был вручен экземпляр «Награды за ошибки Netscape. Предложение программы, и Ридлингхафер был приглашен представить свою идею исполнительной команде Netscape. Все участники встречи поддержали эту идею, кроме вице-президента по инжинирингу, который не хотел, чтобы она развивалась, считая ее пустой тратой времени и ресурсов. Однако вице-президент по проектированию был отклонен, и Ридлингхаферу дали начальный бюджет в 50 тысяч долларов для работы с предложением.
10 октября 1995 года Netscape запустила первую программу вознаграждения за технологические ошибки для браузера Netscape Navigator 2.0 Beta.
В августе 2013 года Палестинский студент, изучающий информатику, сообщил об уязвимости, которая позволила любому опубликовать видео в произвольной учетной записи Facebook. Согласно электронному письму между студентом и Facebook, он попытался сообщить об уязвимости с помощью программы bug bounty, но студент был неправильно понят инженерами Facebook. Позже он воспользовался уязвимостью, используя профиль Facebook Марка Цукерберга, в результате чего Facebook отказался выплатить ему вознаграждение.
Дебетовая карта Facebook «Белая шляпа», выданная исследователям, которые сообщают об ошибках безопасности Facebook начал платить исследователям, которые находят и сообщают об ошибках безопасности, выдавая им дебетовые карты с фирменной маркой «White Hat», которые можно пополнять деньгами каждый раз, когда исследователи обнаруживают новые недостатки. «Исследователи, которые находят ошибки и улучшения безопасности, встречаются редко, мы ценим их и должны найти способы их вознаградить», - сказал CNET в интервью Райан МакГихан, бывший менеджер группы реагирования на безопасность Facebook. «Наличие этой эксклюзивной черной карты - еще один способ узнать их. Они могут прийти на конференцию, показать эту карту и сказать: «Я сделал особую работу для Facebook». В 2014 году Facebook прекратил выпуск дебетовых карт для исследователей.
В 2016 году в Uber произошел инцидент, связанный с безопасностью, когда человек получил доступ к личной информации 57 миллионов пользователей Uber по всему миру. Человек якобы потребовал выкуп в размере 100 000 долларов, чтобы уничтожить данные пользователей. В показаниях Конгресса Uber CISO указал, что компания подтвердила, что данные были уничтожены, прежде чем заплатить 100 000 долларов. Г-н Флинн выразил сожаление по поводу того, что Uber не раскрыл информацию об инциденте в 2016 году. В рамках своей реакции на этот инцидент Uber работал с партнером HackerOne над обновлением своей политики программы вознаграждения за ошибки, чтобы, среди прочего, более подробно объяснить добросовестное исследование уязвимостей и раскрытие информации.
Yahoo! подверглась резкой критике за рассылку Yahoo! Футболки в качестве награды исследователям в области безопасности за обнаружение уязвимостей в системе безопасности Yahoo !, за которые они сообщили об уязвимостях в системе безопасности Yahoo! компания выпустила пресс-релиз, в котором говорилось, что Yahoo! предложил кредит в размере 12,50 долларов на каждую уязвимость, который можно было использовать в отношении товаров под брендом Yahoo, таких как футболки, чашки и ручки из его магазина. Рамзес Мартинес, директор службы безопасности Yahoo, позже заявил в блоге, что он стоял за программой вознаграждения ваучерами и что он в основном платил за них из своего собственного кармана. В конце концов Yahoo! 31 октября того же года запустила свою новую программу поощрения ошибок, которая позволяет исследователям безопасности сообщать об ошибках и получать вознаграждение от 250 до 15 000 долларов, в зависимости от серьезности обнаруженной ошибки.
Аналогично, когда Ecava выпустила Первая известная программа вознаграждения за ошибки для ICS в 2013 году, их критиковали за то, что они предлагали кредиты магазина вместо наличных денег, что не стимулирует исследователей безопасности. Экава объяснил, что программа изначально была ограничительной и ориентирована на безопасность человека для пользователей IntegraXor SCADA, их программного обеспечения для АСУ ТП.
Хотя представленные материалы поскольку награды за ошибки поступают из многих стран, некоторые страны, как правило, отправляют больше ошибок и получают больше наград. США и Индия - самые популярные страны, из которых исследователи отправляют сообщения об ошибках. Индия, которая занимает первое или второе место в мире по количеству охотников за ошибками, в зависимости от того, какой отчет цитируется, возглавила программу Facebook Bug Bounty Program с наибольшим количеством допустимых ошибок. «Индия вышла на первое место по количеству действительных заявок в 2017 году, при этом США и Тринидад и Тобаго заняли второе и третье места соответственно», - цитирует сообщение Facebook.
В октябре 2013 года Google объявил о серьезных изменениях в своей программе вознаграждения за уязвимости. Раньше это была программа вознаграждения за ошибки, охватывающая многие продукты Google. Однако с этим сдвигом программа была расширена и теперь включает в себя выбор бесплатного программного обеспечения приложений с высоким уровнем риска и библиотек, в первую очередь тех, которые предназначены для сетей или для небольших -уровень операционная система функциональность. Заявки, которые Google сочли соответствующими рекомендациям, будут иметь право на вознаграждение в размере от 500 до 3133,70 долларов США. В 2017 году Google расширил свою программу, включив в нее уязвимости, обнаруженные в приложениях, разработанных третьими сторонами и доступных через Google Play Store. Программа Google Vulnerability Rewards Program теперь включает уязвимости, обнаруженные в продуктах Google, Google Cloud, Android и Chrome, и вознаграждает до 31 337 долларов США.
Microsoft и Facebook заключили партнерство в ноябре 2013 года, чтобы спонсировать The Internet Bug Bounty - программа, предлагающая вознаграждение за сообщения о взломах и эксплойтах для широкого спектра программного обеспечения, связанного с Интернетом. В 2017 году GitHub и Ford Foundation спонсировали инициативу, которой руководят волонтеры, в том числе из Uber, Microsoft, Facebook, Adobe, HackerOne, GitHub, NCC Group и Signal Sciences. Программное обеспечение, охватываемое IBB, включает Adobe Flash, Python, Ruby, PHP, Django, Ruby on Rails, Perl, OpenSSL, Nginx, HTTP-сервер Apache и Phabricator. Кроме того, программа предлагала вознаграждения за более широкие эксплойты, затрагивающие широко используемые операционные системы и веб-браузеры, а также Интернет в целом.
В марте 2016 года Питер Кук объявили о первой программе поощрения за обнаружение ошибок федеральным правительством США - программе «Взломайте Пентагон». Программа работала с 18 апреля по 12 мая, и более 1400 человек отправили 138 уникальных достоверных отчетов через HackerOne. В общей сложности Министерство обороны США выплатило 71200 долларов.
В 2019 году Европейская комиссия объявила об инициативе ЕС-FOSSA 2 по вознаграждению за обнаружение ошибок для популярных проекты с открытым исходным кодом, включая Drupal, Apache Tomcat, VLC, 7-zip и KeePass. Проект был организован при содействии европейской платформы поощрения ошибок Intigriti и HackerOne, и в результате было обнаружено 195 уникальных и действительных уязвимостей.
Open Bug Bounty - это программа поощрения массовых ошибок, созданная в 2014 году, которая позволяет людям публиковать сообщения уязвимости безопасности веб-сайтов и веб-приложений в надежде на вознаграждение от операторов уязвимых веб-сайтов.
