7 pagamentos enormes de recompensas de bugs

As primeiras empresas de tecnologia a oferecer recompensas por bugs - em que o pagamento é oferecido a hackers que encontram vulnerabilidades no código - foram os fabricantes de navegadores da web; O Netscape começou em 1995 e a Mozilla fez o mesmo em 2004.

O objetivo é fazer com que os hackers digam a uma empresa em risco sobre um bug antes que a exploração se torne pública. É uma vitória para os hackers e as empresas - por que bloquear os bandidos quando os hackers mais mercenários podem ajudar a reforçar a segurança?

Nos últimos anos, a caça a insetos tornou-se um grande negócio, com jogadores como Google, Facebook, Yahoo e Microsoft, todos oferecendo grandes somas. Muitos outros - como Tesla, Yelp, Reddit, Square, 1Password e Uber - entraram para a festa desde então, mas os benefícios de insetos não se limitam às empresas de tecnologia. Entidades financeiras, de saúde e governamentais oferecem recompensas porque estão desesperadas para ficar à frente da próxima grande violação.

Recompensas de insetos se tornaram tão comuns que corretores de terceiros, como Bugcrowd e HackerOne, existem para conectar hackers com dinheiro de recompensa. Conforme detalhado no Hacker Report 2018 do HackerOne, a empresa pagou mais de US $ 23 milhões apenas aos 166.000 hackers em sua rede, que corrigiram mais de 72.000 vulnerabilidades. Isso é muito bom trabalho - pois muito menos dinheiro do que um verdadeiro hack pode custar dinheiro e reputação a uma empresa.

O número de usuários registrados apenas na comunidade HackerOne explodiu dez vezes, de acordo com o relatório.

Naturalmente, também existem alguns pontos negativos. O Exodus Intelligence, por exemplo, oferece recompensas mais altas do que as grandes empresas. Em seguida, vende uma assinatura para empresas que inclui essas informações de erro. Isso não é necessariamente ruim - é importante encontrar vulnerabilidades. Mas como observa Lisa Vaas, da Sophos, "os clientes dos corretores de exploração podem estar do lado dos mocinhos - digamos, fornecedores de antivírus que desejam proteger as pessoas de brechas descobertas recentemente - ou que podem ser ofensivos, interessados ​​em usar informações não reveladas". explora para atingir os próprios sistemas ".

Abaixo, dê uma olhada em alguns dos maiores pagamentos já realizados no campo abundante de recompensas de insetos. Se você souber de algumas recompensas maiores, informe-nos nos comentários.

Juramento / Verizon Media

Em abril de 2018, a organização anteriormente conhecida como Oath Inc. desembolsou US $ 400.000 a 40 participantes no evento H1-415 de hackers ao vivo do HackerOne. Oath / Verizon Media, dona do Yahoo e da AOL, distribuiu mais US $ 400 mil em um evento separado em novembro de 2018 para hackers que identificaram 159 vulnerabilidades críticas de segurança.

Após o sucesso desses eventos de recompensas por bugs, a empresa criou um programa consolidado de recompensas por bugs, que pagou US $ 5 milhões em 2018 a hackers e pesquisadores que encontraram bugs de vários níveis de ameaças em várias plataformas. ( Foto de Noam Galai / Getty Images para Verizon Media )



Microsoft

A Microsoft atingiu um marco no ano passado com US $ 2 milhões em pagamentos de recompensas por bugs, após o que parou de liberar informações sobre recompensas individuais, além dos valores e da gravidade dos casos. Mas a maior recompensa concedida a uma única pessoa que conhecemos é Vasilis Pappas, que recebeu US $ 200.000 em 2012 quando era aluno de doutorado na Universidade de Columbia. Pappas enviou soluções para um problema de programação orientada a retorno que os hackers usavam para contornar os controles de segurança e criou o kBouncer, um programa que mitiga qualquer coisa que se pareça com ROP.



Google

O Programa de Recompensas para Vulnerabilidades do Google remonta a 2010. Desde então, pagou mais de US $ 15 milhões, dos quais US $ 3, 4 milhões foram concedidos em 2018 (e US $ 1, 7 milhão dos quais focados em bugs no Android e Chrome). O maior pagamento único no ano passado foi uma recompensa de US $ 41.000 para um pesquisador não especificado. Das recompensas públicas, Ezequiel Pereira, 19 anos, do Uruguai recebeu US $ 36.000 por descobrir um bug de Execução Remota de Código no console do Google Cloud Platform.



HackerOne Millionaire

Como se a história de Pereira não fosse suficiente, devemos mencionar outro sul-americano de 19 anos que está matando o jogo da recompensa: o argentino Santiago Lopez, a primeira pessoa a receber US $ 1 milhão em ganhos na plataforma do HackerOne. O hacker autodidata diz que começou assistindo vídeos do YouTube e lendo blogs por conta própria, mas o que deu início ao seu interesse por hackers? O quê mais? O filme de 1995 Hackers . ( Foto de United Artists / Getty Images )



Facebook

Para uma empresa que sofreu alguns lapsos de segurança ao longo dos anos, não é de surpreender que o Facebook esteja ansioso para localizar e resolver brechas e explorações em seu código. O programa de recompensas por bugs da rede social pagou US $ 7, 5 milhões desde o início em 2011. O recorde anterior de maior pagamento único do Facebook foi para Andrew Leonov, um pesquisador de segurança russo que recebeu US $ 40.000 por descobrir uma falha de segurança em um software de segurança de terceiros que pode afetar o próprio Facebook. O novo pagamento recorde aconteceu no ano passado - US $ 50.000 para uma pessoa.



Departamento de Defesa dos EUA

Por um mês em 2016, o Departamento de Defesa do governo Obama disse literalmente: "Hackeie o Pentágono!" Duzentos e cinquenta hackers foram atrás de bugs nos sistemas da agência e encontraram 138 vulnerabilidades que mereciam ser fechadas. O pagamento total aos hackers foi de US $ 150.000 - o que o então secretário de Defesa Ashton Carter disse que era cerca de US $ 850.000 a menos do que custaria para obter uma auditoria de segurança profissional.

Em 2018, o Departamento de Defesa expandiu o hackathon para uma série de novos programas hospedados pelo HackerOne, que visavam sistemas governamentais pertencentes ao Exército, Força Aérea, Fuzileiros Navais e Sistema de Viagens de Defesa. Eles concederam US $ 500.000 a hackers que descobriram cerca de 5.000 vulnerabilidades exclusivas em bancos de dados e sites do governo.



United Airlines: 1 milhão de milhas

A United Airlines não distribui dinheiro, mas oferece milhas gratuitas. Muitos deles. Um número de pesquisadores recebeu milhas de passageiro no ano passado, incluindo Olivier Beg, um pesquisador de segurança de 19 anos da Holanda que recebeu 1 milhão de milhas por encontrar cerca de 20 bugs diferentes nos sistemas da companhia aérea. ( Foto de Nicolas Economou / NurPhoto via Getty Images )