קוראים כמוך עוזרים לתמוך ב-MUO. כאשר אתה מבצע רכישה באמצעות קישורים באתר שלנו, אנו עשויים להרוויח עמלת שותף. קרא עוד.

בכל התוכנה יש באגים, או פגמים שגורמים לבעיות. הן נעות בין בעיות בנאליות שאינן משפיעות על ביצועי התוכנה בשום צורה, ועד לפרצות אבטחה חמורות.

קשה לזהות באגים, וזו הסיבה לחברות טכנולוגיה רבות יש תוכניות פרס באג. אבל מהן בעצם תוכניות הבאונטי? איך הם עובדים, וכיצד הם עוזרים לשפר את אבטחת המוצר?

כיצד פועלות תוכניות הבאג באונטי

חברות משיקות תוכניות פרס על באגים כדי לתמרץ האקרים כובע לבן לחפש פרצות אבטחה ופגיעויות דומות בתוכנה. בדרך כלל יש פרס כספי יותר מהוגן עבור אלה שמגלים באג, לא משנה כמה לא משמעותי הוא עשוי להיראות לאדם הממוצע.

ולא רק חברות קטנות וצומחות יש להן תוכניות באגים. למעשה, רוב ענקיות הטכנולוגיה מנהלות אותן, כולל גוגל, מיקרוסופט, פייסבוק ואפל. פרטים על תוכניות אלה ניתן למצוא בדרך כלל באתר הרשמי של החברה. לעתים קרובות יותר מאשר לא, ישנם מספר רבדים או קטגוריות. אבל באופן עקרוני, ככל שהבאג משמעותי יותר, כך התגמול גבוה יותר.

ברגע שהאקר כובע לבן מגלה באג, הוא מגיש דוח גילוי מפורט המסביר מה הם מצאו. לאחר מכן, מהנדסי החברה בודקים את ההגשה וחוקרים, ואם ממצאי החוקר מתבררים כמדויקים ושימושיים, הם מקבלים הודעה ומקבלים תגמול כספי.

instagram viewer

מערכת זו פועלת הן עבור חברות והן עבור חוקרים עצמאיים. מנקודת מבט של כל חברה, עדיף שהאקר אתי יגלה באג מאשר שחקן איום, שככל הנראה ימשיך לנצל אותו לפני שהוא יתוקן, שעלול לגרום למיליוני נזקים. האקרים, לעומת זאת, עושים חלק נאה של שינוי כשהם משתתפים בתוכניות הבאונטיות של באגים - חלקם אפילו מרוויחים הכנסה במשרה מלאה בגילוי פרצות תוכנה.

דוגמאות לתוכניות Bug Bounty לשיפור אבטחת התוכנה

זה טוב לדעת איך פועלות תוכניות הבאונטי בתיאוריה, אבל בואו נסתכל על כמה דוגמאות אמיתיות של חברות שמשלמות סכומים אדירים להאקרים של כובע לבן.

בשיתוף פעולה עם פלטפורמת הבאונטי Immunefi, פלטפורמת גשר הבלוקצ'יין המבוזרת, Wormhole השיקה בפברואר 2022 תוכנית פרס המציעה 10 מיליון דולר לכל מי שמגלה אבטחה קריטית חרק. עד מהרה, האקר כובע לבן שמשתמש בשם הבדוי satya0x גילה אחד כזה. כפי שהסביר אימוניפי בא בינוני פוסט, הבאג יכול היה להוביל לנעילה של כספי משתמשים, אז satya0x קיבלה 10 מיליון דולר על חשיפתו.

גם בפברואר 2022, הבורסה למטבעות קריפטוגרפיים בסיס מטבעות שילם פרס של 250,000 דולר באגים לחוקר עצמאי על גילוי פגם גדול בממשק המסחר של הפלטפורמה.

Aurora Labs, החברה שמאחורי המכונה הווירטואלית Aurora Ethereum (ETH), שילמה פרס ענק של 6 מיליון דולר באפריל 2022. הכסף הוענק להאקר אתי המכונה pwning.eth, לאחר שגילה פגיעות היה מאפשר לשחקני איום להטביע אספקה ​​אינסופית של מטבע הקריפטו Ethereum באורורה מנוע.

ענקית המסחר האלקטרוני הקנדית Shopify, בינתיים, שברה את השיא שלה ב-2021, כאשר תשלומי הפרס שלה הסתכמו במיליון דולר. באותה שנה, החברה קיבלה סך של 3,000 דיווחי באגים מהאקרים של כובע לבן ברחבי העולם. בתגובה, Shopify העלתה את פרס הפרס המקסימלי שלה ל-$100,000.

הנתונים האלה אולי נראים גבוהים בצורה אבסורדית, אבל הם באמת לא בהשוואה לכמות הכסף והנתונים שפושעי סייבר יכולים להרוויח אחרת על ידי גילוי נקודות תורפה. Wormhole קבע פרס של 10 מיליון דולר רק לאחר שהפסיד 320 מיליון דולר עקב הפרה. Aurora Labs תגמלה להאקר כובע לבן כי 6 מיליון דולר מחווירים בהשוואה להפסד של 240 מיליון דולר בשווי ETH, בעוד ש-Coinbase ו-Shopify חסכו כנראה עשרות מיליונים על ידי פיצוי חרוצים חוקרים.

5 תוכניות הבאונטי הטובות ביותר עם שכר גבוה

מכיוון שחברות למעשה חוסכות המון כסף על ידי הקמת תוכניות מתגמלות באגים, יש מגוון אפשרויות שחוקרים יכולים לבחור מהן. אם אתה במקרה האקר כובע לבן או שתרצה להפוך לכזה, הנה חמש תוכניות פרס באגים עם שכר גבוה שכדאי לשקול.

Apple Security Bounty היא אחת מתוכניות הבאונטי הפופולריות ביותר בעולם. התגמולים נעים בין 5,000 דולר לגילוי פגיעויות במסך נעילה, ועד 2 מיליון דולר עבור פרצות אבטחה שיאפשרו לשחקן איום לעקוף הגנות במצב נעילה. כל מה שאתה צריך לעשות כדי לשלוח דוח באג (שצריך להיות יסודי ומפורט) הוא להיכנס עם ה-Apple ID שלך.

תוכנית פרס באגים פופולרית נוספת מנוהלת על ידי מיקרוסופט, המציעה מגוון רחב של תגמולים. בדומה לזו של אפל, התוכנית של מיקרוסופט מחולקת לעשרות קטגוריות שונות. לדוגמה, אם אתה מגלה פגיעות ב-Microsoft. NET framework, אתה יכול לצפות לתשלום של עד $15,000. אבל אם תגלה אחד ב Microsoft Hyper-V, אתה עשוי לקבל פרס של עד $250,000.

תוכנית התגמולים של Samsung מתמקדת במוצרי הסלולר של החברה. יש לו מדיניות קפדנית יחסית, אז הקפד לקרוא אותם בעיון לפני שליחת באג. כמו כן, שימו לב שרק באגים המשפיעים על האבטחה של מכשירי סמסונג נלקחים בחשבון על ידי מהנדסי החברה. התגמולים נעים בין $200 ל-$200,000.

בתוכנית הגמל של ציידי הבאגים של גוגל, התגמולים מגיעים עד ל-$30,000. ציידי באגים, כפי שמכנים האקרים כובע לבן לעתים קרובות, יכולים לדווח על באגים ב-Gmail, YouTube, BlogSpot ושירותים אחרים של Google. לתוכנית זו יש קהילה פעילה מאוד ואוניברסיטה מקוונת משלה, שיכולה להיות משאב נהדר עבור חוקרים מתחילים.

תוכנית הבאונטי של Meta מכסה את פייסבוק, אינסטגרם, וואטסאפ, מסנג'ר ועוד שלל מוצרים אחרים. כדי להיחשב לתגמול (המינימום הוא $500), עליך למצוא נקודות תורפה המהוות סיכון אבטחה או פרטיות ועומדות בדרישות מוגדרות בבירור. כל הדיווחים התקפים מקבלים תגובה. אם מספר ציידים מזהים את אותה בעיה, הפרס ניתן לאדם הראשון שיגיש דוח.

תוכניות Bug Bounty: המיטב באבטחה במיקור המונים

תוכניות באגים מייצגות את מיטב האבטחה במיקור המונים. ולא רק חברות טכנולוגיה וחוקרי אבטחת סייבר מרוויחים מהן - כולם, כולל הצרכנים.

עבור חלק, ציד חרקים הוא תחביב, ולאחרים קריירה מלאה. אם אתה נופל לקטגוריה האחרונה, או שואף אליה, יש הרבה קורסים מקוונים ששווה להסתכל עליהם.