Bilgisayar korsanları, yazılımdaki açıkları tespit ederek ve ödeme talep ederek tam zamanlı geçimlerini sağlayabilirler.
Bilgisayar korsanlarına bir şirketin sistemlerinde tek bir kritik kusur bulmaları için 30.000 dolara kadar para ödeniyor ve şirketlerin ödemek istediği miktar da artıyor.
Bu tür hata avlama programlarının kullanımı hala sınırlı olsa da, bazı büyük kuruluşlar bilgisayar korsanlarına sistemlerindeki kusurları tespit etmeleri karşılığında ödüller sunuyor.
HackerOne'ın verilerine göreİşletmeler için hata ödül programları düzenleyen bir şirket olan en büyük harcama yapan şirketler, artık hataları bildiren kişilere yılda yaklaşık 900.000 dolar ödüyor.
Veriler, Airbnb gibi şirketler için HackerOne tarafından yürütülen hata ödülü ve güvenlik açığı açıklama programlarından geliyor. GitHub ve Savunma Bakanlığı - toplamda 50.000'den fazla güvenlik açığı tespit edildi ve bunlardan fazlası 17 milyon dolar piyasaya sürülmesinden bu yana verilen ödüllerde.
Kritik bir güvenlik açığını tespit etmek ortalama 1.923 dolar kazandıracak ancak şirket, son 12 ayda, 88 ayrı hata ödülü ödülünün her biri 10.000 doların üzerindeydi ve programlarındaki en iyi ödüller şu seviyeye ulaştı: $30,000. Apple ve Microsoft gibi şirketlerin de 100.000 dolara kadar çıkabilen kendi hata ödül programları var.
Şirketlerin yaklaşık üçte ikisi kritik güvenlik açıkları için ortalama 1.000 ABD Doları ödüyor, ancak birkaç aykırı şirket 15.000 ABD Doları veya daha fazlasını ödeyecek. Bunun nedeni muhtemelen hata ödül programlarının piyasaya sürüldüğünde daha düşük ödüller ödemesidir; çünkü ortalama bir şirketin güvenliğinde doldurulması gereken çok fazla boşluk olacaktır.
Ancak bir kuruluş daha fazla güvenlik açığını düzelttikçe, kusurların fark edilmesi zorlaşır ve böylece korsanları devam etmeye teşvik eden ödüller artar. Bakın: örneğin, Google, Chrome için üst düzey ödülünü beşten fazla süre boyunca istikrarlı bir şekilde 3.000 ABD Dolarından 100.000 ABD Dolarına çıkardı. yıllar.
Geçen yıl HackerOne tarafından yapılan bir anket, görüştüğü 600 bilgisayar korsanının yüzde 17'sinin yalnızca hata ödülüne güvendiklerini söylediğini ortaya çıkardı. diğer yüzde 26'sı ise gelirlerinin yüzde 76 ila yüzde 100'ünün böcek ödüllerinden geldiğini söyledi programlar. On kişiden dokuzu 34 yaşın altındaydı.
Seyahat ve konaklama sektörü en hızlı ödemeyi yapanlar olup, raporun sunulmasından ortalama 18 gün sonra parayı teslim ediyorlar, bunu yiyecek ve içecek (19 gün) takip ediyor. Şaşırtıcı olmayan bir şekilde, 61 gün ile devlet kurumları ödemeyi en yavaş yapan kurumlardır. Şirketler ayrıca farklı aşamalarda ödeme yapıyor: yaklaşık beş kişiden biri güvenlik açığı doğrulandığında ödeme yapıyor, yarısı güvenlik açığı giderildiğinde, diğerleri ise duruma göre ödeme yapıyor.
Hata ödül programlarının neredeyse üçte ikisi teknoloji şirketleri tarafından yürütülüyor ancak devlet kurumlarından, medya ve eğlenceden, finansal hizmetlerden, bankacılık ve perakendeden gelen ilgi artıyor. Ancak, halka açık en büyük şirketlerin yalnızca yüzde altısı, kamuya açık güvenlik açığını açıklama politikalarına sahip.
HackerOne, siteler arası komut dosyası çalıştırmanın (XSS) platformunu kullanan bilgisayar korsanları tarafından keşfedilen en yaygın güvenlik açığı türü olduğunu söyledi. Finansal hizmetler ve bankacılıkta en yaygın güvenlik açığı hatalı kimlik doğrulamaydı.
Şirketlerin güvenliklerini düzeltmelerine yardımcı olmak için dışarıdaki bilgisayar korsanlarının becerilerini kullanan programlar, bir güvenlik kuruluşuna sahip olmanın temellerinden çeşitli şekillerde olabilir. Herhangi bir bilgisayar korsanının sahip olabileceği hata ödül programlarına kadar genellikle "güvenlik@" e-posta adresi biçimini alan güvenlik açığı açıklama politikası bir keçi. Ayrıca yalnızca birkaç önemli bilgisayar korsanına açık olan özel hata ödül programları ve yalnızca davetli bilgisayar korsanlarına yalnızca kısa bir süre için açık olan zamana bağlı hata ödül programları da vardır.
Hata ödülleri hakkında daha fazla bilgi
2016'nın en iyi HackerOne hata ödüllerine bir bakış
Böcek ödülleri karaborsa ile rekabet ederken nakit her şey değildir