Zarabiaj miliony na błędach

Zarabiaj miliony na błędach
"Bug bounty" to w wolnym tłumaczeniu nagroda za znajdywanie błędów. W znaczącej części dotyczy wszelkiej maści luk bezpieczeństwa.

Program nagród za błędy to swoista umowa oferowana przez wiele witryn internetowych, organizacji i twórców oprogramowania. Dzięki niej, testerzy bezpieczeństwa (inaczej white hat lub etyczni hakerzy) mogą zdobyć wyróżnienie lub nagrodę pieniężną za zgłaszanie błędów, zwłaszcza tych, związanych z lukami w zabezpieczeniach. Programy te umożliwiają wykrywanie i usuwanie błędów, zanim opinia publiczna się o nich dowie, zapobiegając incydentom włamań i kradzieży danych. Wychodzi się z założenia, że lepiej, aby defekt znalazł ktoś, kto ma dobre intencje. Ponieważ znalezienie luki często jest czasochłonne, firmy potrafią sowicie za to wynagradzać. Programy „bug bounty” są wdrażane przez wiele organizacji, jak Mozilla, Facebook, Yahoo!, Google, Reddit i wiele innych. Nawet firmy spoza branży IT, w tym tradycyjnie konserwatywne organizacje, jak Departament Obrony Stanów Zjednoczonych, zaczęły korzystać z programów nagród za błędy. Wykorzystanie przez Pentagon tego typu programów, jest częścią zmiany nastawienia, w wyniku której, kilka amerykańskich agencji rządowych zmieniło politykę i zamiast grozić hakerom konsekwencjami prawnymi, zaczęli zapraszać ich do udziału w wyścigu po bugi.

Cała historia "bug bounty" to zbiór wielu ciekawych anegdot. Pierwszy znany program zgłaszania błędów, został zorganizowany przez Hunter and Ready w 1983 roku, na systemie operacyjnym Versatile Real-Time Executive. Każdy, kto znalazł i zgłosił błąd, otrzymałby w zamian Volkswagen`a Beetle (inaczej Bug). W sierpniu 2013 roku palestyński student informatyki zgłosił lukę, która umożliwiała każdej osobie opublikowanie filmu na dowolnym koncie, na Facebooku. Z zachowanej komunikacji e-mail  wynika, iż próbował on zgłosić lukę za pomocą programu Facebook bounty, ale został źle zrozumiany przez inżynierów Facebooka. Później ten sam student wykorzystał lukę, posługując się profilem Marka Zuckerberga na Facebooku, w wyniku czego Facebook odmówił mu wypłaty nagrody. 

W 2016 roku Uber doświadczył incydentu związanego z bezpieczeństwem. Ktoś bowiem uzyskał dostęp do danych osobowych 57 milionów użytkowników Ubera na całym świecie. Osoba ta przypuszczalnie zażądała okupu w wysokości 100 000 dolarów. Uber zapłacił, ale nie ujawnił incydentu. Rozpoczął również współprace z HackerOne, aby zaktualizować zasady programu nagród za błędy.

Z kolei Yahoo! zostało ostro skrytykowane za wysyłanie testerom bezpieczeństwa, koszulek ze swoim logo, zamiast nagród pieniężnych, zwłaszcza, że zgłoszenia dotyczyły błędów w zabezpieczeniach. Później jednak Yahoo! uruchomiło swój własny program nagród, premiujący badaczy bezpieczeństwa nagrodami w kwocie, nawet do 15 000 $, w zależności od wagi wykrytego błędu.

Poniżej linki, gdzie można znaleźć informacje o aktualnie prowadzonych projektach "bug bounty": 

Źródła:
https://pl.vpnmentor.com/blog/kompletna-lista-programow-bug-bounty/
https://en.wikipedia.org/wiki/Bug_bounty_program

To powinno Cię zainteresować