차례:
비디오: ëì¹ë³´ì´ëì 기ì´êµë¦¬ 07-7 (십월 2024)
코드에서 취약점을 발견 한 해커에게 지불을 제공하는 버그 바운티를 제공 한 최초의 기술 회사는 웹 브라우저 제조업체였습니다. 넷스케이프는 1995 년에 시작되었고 모질라는 2004 년에도 마찬가지였다.
목표는 해커가 위험에 노출 된 회사에게 악용을 공개하기 전에 버그에 대해 알리도록하는 것입니다. 해커와 기업에게는 윈윈입니다. 왜 더 많은 용병 해커가 보안을 강화할 수있을 때 나쁜 사람을 차단합니까?
최근 몇 년 동안 버그 사냥은 구글, 페이스 북, 야후, 마이크로 소프트와 같은 플레이어들과 큰 비즈니스가되었습니다. Tesla, Yelp, Reddit, Square, 1Password, 및 Uber와 같은 많은 사람들이 파티에 합류했지만 버그 바운티는 기술 회사에만 국한되지 않습니다. 금융, 건강 관리 및 정부 기관은 다음 번 주요 위반보다 앞서 나가기 위해 필사적으로 바운티를 제공합니다.
버그 바운티는 너무나 흔한 일이되어 Bugcrowd 및 HackerOne과 같은 타사 브로커가 해커를 현상금과 연결하기 위해 존재합니다. HackerOne의 2018 Hacker Report에 자세히 설명 된 바와 같이이 회사는 72, 000 개 이상의 취약점을 해결 한 네트워크의 166, 000 명의 해커에게 2, 300 만 달러 이상을 지불했습니다. 진정한 해킹이 회사에 돈과 명성을 요구할 수있는 것보다 훨씬 적은 돈을 벌기 위해서는 많은 일이 필요합니다.
보고서에 따르면 HackerOne 커뮤니티에만 등록 된 사용자 수는 10 배로 증가했습니다.
당연히 부정적인 것도 있습니다. 예를 들어, 출애굽기 정보는 대기업보다 높은 바운티를 제공합니다. 그런 다음 해당 버그 정보가 포함 된 회사에 구독을 판매합니다. 반드시 나쁜 것은 아닙니다. 취약점을 찾는 것이 중요합니다. 그러나 소포스의 Lisa Vaas는 "취약한 브로커의 고객은 좋은 사람, 즉 새로 발견 된 허점으로부터 사람들을 보호하려는 바이러스 백신 공급 업체의 편에 서있을 수 있습니다. 시스템 자체를 목표로 삼는다."
아래에서, 풍부한 버그 바운티 분야에서 아직까지 가장 큰 지불금 몇 가지를 살펴보십시오. 더 큰 바운티에 대해 알고 있다면 의견에 알려주십시오.
서약 / 수평 매체
2018 년 4 월, Oath Inc.로 알려진이 조직은 HackerOne의 라이브 해킹 H1-415 이벤트에 40 만 달러에서 40 명의 참가자를 몰아 냈습니다. Yahoo와 AOL을 소유 한 Oath / Verizon Media는 2018 년 11 월에 별도의 이벤트에서 2018 년 11 월 치명적인 보안 취약점 159 개를 발견 한 해커에게 $ 400K를 추가로 기부했습니다.
이 버그 현상금 이벤트가 성공한 후이 회사는 통합 버그 현상금 프로그램을 만들었으며 2018 년에 여러 플랫폼에서 다양한 위협 수준의 버그를 발견 한 해커와 연구원에게 5 백만 달러를 지불했습니다. ( 버라이존 미디어에 대한 사진 Noam Galai / 게티 이미지 )
마이크로 소프트
지난해 마이크로 소프트는 버그 바운티 지급액이 2 백만 달러에 이르렀으며, 그 후 금액과 사건 심각도 외에 개별 현상금에 대한 정보 공개를 중단했다. 그러나 우리가 아는 한 사람에게 수여되는 가장 큰 현상금은 Vasilis Pappas입니다. Vasilis Pappas는 2012 년 Columbia University PhD 학생이었던 20 만 달러를 받았습니다. Pappas는 해커가 보안 제어를 회피하는 데 사용되는 Return-Oriented Programming 문제에 대한 솔루션을 제출하고 ROP처럼 보이는 것을 완화시키는 프로그램 인 kBouncer를 만들었습니다.
구글
Google의 취약점 보상 프로그램은 2010 년으로 거슬러 올라갑니다. 그 후 2018 년에 1, 300 만 달러, 그 중 340 만 달러 (Android 및 Chrome의 버그에 중점을 둔 170 만 달러) 이상을 지불했습니다. 작년에 가장 큰 단일 지불금은 지정되지 않은 연구원에게 $ 41, 000의 현상금이었습니다. 공개 된 바운티 중 우루과이의 19 세의 Ezequiel Pereira는 Google Cloud Platform 콘솔에서 원격 코드 실행 버그를 발견 한 데 대해 36, 000 달러를 받았습니다.
해커 원 백만장 자
페레이라의 이야기가 충분하지 않은 것처럼 버그 바운티 게임을 죽이는 19 세의 남미를 언급해야합니다. 아르헨티나의 산티아고 로페즈. 스스로 가르치는 해커는 자신이 YouTube 동영상을보고 블로그를 읽음으로써 자신의 시작을 얻었지만 해킹에 대한 관심이 급증했다고 말했습니까? 또 뭐요? 1995 년 영화 해커 . ( 유나이티드 아티스트 / 게티 이미지 사진 )
페이스 북
수년에 걸쳐 보안 취약점이 발생한 회사의 경우 Facebook이 코드에서 허점과 악용을 찾아서 해결하고자하는 것이 놀랍지 않습니다. 소셜 네트워크의 버그 바운티 프로그램은 2011 년에 시작된 이래로 750 만 달러를 지불했습니다. Facebook의 단일 단일 지불금의 이전 기록은 러시아 보안 연구원 인 Andrew Leonov에게 갔다. Facebook 자체에 영향을 줄 수 있습니다. 새로운 기록 지급은 작년에 한 사람에게 시원한 $ 50, 000였습니다.
미국 국방부
2016 년 한 달 동안 오바마 정부 하의 미 국방부는 문자 그대로 "국방부 해킹!" 2 백 50 명의 해커가 에이전시 시스템의 버그를 겪고 나서 138 개의 취약점이 발견되었습니다. 해커에 대한 총 지불액은 15 만 달러였으며, 그 후 애쉬튼 카터 국방 장관은 전문 보안 감사를받는 데 드는 비용보다 약 85 만 달러가 적다고 말했다.
2018 년 국방부는 해커 원이 주최하는 수많은 새로운 프로그램으로 해커 톤을 확장했습니다.이 프로그램은 육군, 공군, 해병대 및 국방 여행 시스템이 소유 한 정부 시스템을 대상으로합니다. 정부 데이터베이스 및 웹 사이트에서 약 5, 000 개의 고유 한 취약점을 발견 한 해커에게 50 만 달러를 합산했습니다.
유나이티드 항공: 백만 마일
유나이티드 항공은 현금을 제공하지 않지만 무료 마일리지를 제공합니다. 그들 중 많은. 지난해 네덜란드의 19 세 보안 연구원 인 올리비에 베그 (Olivier Beg)를 포함 해 수많은 연구자들에게 비행기 시스템에서 약 20 가지의 버그를 발견 한 백만 마일을 받았다. ( 게티 이미지를 통해 사진 Nicolas Economou / NurPhoto )
