Alle software heeft bugs of tekortkomingen die problemen veroorzaken. Ze variëren van banale problemen die geen grote invloed hebben op de softwareprestaties tot ernstige beveiligingsproblemen.
Bugs kunnen moeilijk te herkennen zijn, daarom hebben veel technologiebedrijven bug bounty-programma's. Maar wat zijn bug bounty-programma's precies? Hoe werken ze en hoe helpen ze de beveiliging van een product te verbeteren?
Hoe Bug Bounty-programma's werken
Bedrijven lanceren bug bounty-programma's om te stimuleren white hat-hackers om te zoeken naar beveiligingslekken en soortgelijke kwetsbaarheden in software. Er is meestal een meer dan behoorlijke geldprijs voor degenen die een bug ontdekken, ongeacht hoe onbeduidend het voor de gemiddelde persoon lijkt.
En het zijn niet alleen kleine, opkomende bedrijven die bug bounty-programma's hebben. Sterker nog, de meeste techreuzen beheren ze, waaronder Google, Microsoft, Facebook en Apple. Details over deze programma's zijn meestal te vinden op de officiële website van een bedrijf. Vaker wel dan niet, zijn er verschillende niveaus of categorieën. Maar in principe geldt: hoe belangrijker een bug, hoe hoger de beloning.
Zodra een white hat-hacker een bug ontdekt, dienen ze een gedetailleerd openbaarmakingsrapport in waarin ze uitleggen wat ze hebben gevonden. Bedrijfsingenieurs beoordelen en onderzoeken vervolgens de inzending, en als de bevindingen van de onderzoeker nauwkeurig en nuttig blijken te zijn, worden ze hiervan op de hoogte gesteld en ontvangen ze een geldelijke beloning.
Dit systeem werkt zowel voor bedrijven als voor onafhankelijke onderzoekers. Vanuit het perspectief van elk bedrijf is het beter dat een ethische hacker een bug ontdekt dan een bedreigingsactor, die hoogstwaarschijnlijk exploiteer het voordat het is gepatcht, die mogelijk miljoenen schade aanrichten. Hackers maken daarentegen een aardig deel van de verandering door deel te nemen aan bug bounty-programma's - sommigen verdienen zelfs een voltijds inkomen door softwarekwetsbaarheden te ontdekken.
Voorbeelden van Bug Bounty-programma's die de softwarebeveiliging verbeteren
Het is goed om te weten hoe bug bounty-programma's in theorie werken, maar laten we eens kijken naar enkele praktijkvoorbeelden van bedrijven die enorme bedragen uitbetalen aan white hat-hackers.
In samenwerking met het bug bounty platform Immunefi, het gedecentraliseerde blockchain bridge platform Wormhole lanceerde in februari 2022 een premieprogramma dat $ 10 miljoen biedt aan iedereen die een kritieke beveiliging ontdekt beestje. Al snel ontdekte een white hat-hacker die het pseudoniem satya0x gebruikte er een. Zoals Immunefi uitlegde in a Medium post, had de bug ertoe kunnen leiden dat het geld van gebruikers werd geblokkeerd, dus ontving satya0x $ 10 miljoen voor het bekendmaken ervan.
Ook in februari 2022 komt de cryptocurrency exchange Muntbasis betaalde een bug bounty-beloning van $ 250.000 aan een onafhankelijke onderzoeker voor het ontdekken van een grote fout in de handelsinterface van het platform.
Aurora Labs, het bedrijf achter de Aurora Ethereum (ETH) Virtual Machine, betaalde in april 2022 een enorme premie van $ 6 miljoen uit. Het geld werd toegekend aan een ethische hacker die bekend staat als pwning.eth, nadat hij een kwetsbaarheid ontdekte die zou bedreigingsactoren in staat hebben gesteld een oneindige voorraad van de Ethereum-cryptocurrency in de Aurora te slaan motor.
De Canadese e-commerce gigant Shopify, brak ondertussen zijn eigen record in 2021, toen de bounty-uitbetalingen in totaal $ 1 miljoen bedroegen. Dat jaar ontving het bedrijf in totaal 3.000 bugrapporten van white hat-hackers over de hele wereld. Als reactie daarop verhoogde Shopify zijn maximale bounty-beloning tot $ 100.000.
Deze cijfers lijken misschien absurd hoog, maar ze zijn echt niet in vergelijking met de hoeveelheid geld en gegevens die cybercriminelen anders zouden kunnen verdienen door kwetsbaarheden te ontdekken. Wormhole stelde pas een bug bounty-beloning van $ 10 miljoen in nadat het $ 320 miljoen verloor als gevolg van een inbreuk. Aurora Labs beloonde een white hat-hacker omdat $ 6 miljoen verbleekt in vergelijking met het verlies van $ 240 miljoen ter waarde van ETH, terwijl Coinbase en Shopify waarschijnlijk tientallen miljoenen hebben bespaard door ijverig te compenseren onderzoekers.
De 5 best betalende Bug Bounty-programma's
Omdat bedrijven daadwerkelijk een hoop geld besparen door belonende bug bounty-programma's op te zetten, is er een scala aan opties waaruit onderzoekers kunnen kiezen. Als je toevallig een white hat-hacker bent of er een wilt worden, zijn hier vijf goedbetaalde bug bounty-programma's die je kunt overwegen.
Apple Security Bounty is een van de meest populaire bug bounty-programma's ter wereld. Beloningen variëren van $ 5.000 voor het ontdekken van kwetsbaarheden op het vergrendelscherm tot $ 2 miljoen voor beveiligingslekken waardoor een bedreigingsacteur zou kunnen omzeilen Beveiligingen in de vergrendelingsmodus. Het enige dat u hoeft te doen om een bugrapport in te dienen (dat grondig en gedetailleerd moet zijn), is inloggen met uw Apple ID.
Een ander populair bug bounty-programma wordt uitgevoerd door Microsoft, dat een breed scala aan beloningen biedt. Net als dat van Apple is het programma van Microsoft onderverdeeld in tientallen verschillende categorieën. Als u bijvoorbeeld een kwetsbaarheid ontdekt in de Microsoft. NET-framework, kunt u een betaling van maximaal $ 15.000 verwachten. Maar als je er een ontdekt in Microsoft Hyper-V, krijgt u mogelijk een beloning van maximaal $ 250.000.
Het Samsung Rewards-programma draait om de mobiele producten van het bedrijf. Het heeft een relatief strikt beleid, dus zorg ervoor dat je deze zorgvuldig leest voordat je een bug indient. Houd er ook rekening mee dat alleen bugs die van invloed zijn op de beveiliging van Samsung-apparaten in aanmerking worden genomen door de ingenieurs van het bedrijf. Beloningen variëren van $ 200 tot $ 200.000.
In het premieprogramma van Google Bug Hunters lopen de beloningen op tot $30.000. Bugjagers, zoals white hat-hackers vaak worden genoemd, kunnen bugs melden in Gmail, YouTube, BlogSpot en andere Google-services. Dit programma heeft een zeer actieve gemeenschap en een eigen online universiteit, wat een geweldige bron kan zijn voor beginnende onderzoekers.
Het premieprogramma van Meta omvat Facebook, Instagram, WhatsApp, Messenger en een hele reeks andere producten. Om in aanmerking te komen voor een beloning (het minimum is $ 500), moet u kwetsbaarheden vinden die een beveiligings- of privacyrisico vormen en die voldoen aan duidelijk omschreven vereisten. Alle geldige meldingen krijgen een reactie. Als meerdere jagers hetzelfde probleem ontdekken, wordt de beloning gegeven aan de eerste persoon die een melding indient.
Bug Bounty-programma's: het beste van gecrowdsourcete beveiliging
Bug bounty-programma's vertegenwoordigen het beste van gecrowdsourcete beveiliging. En niet alleen technologiebedrijven en onderzoekers op het gebied van cyberbeveiliging profiteren ervan, iedereen profiteert ervan, ook consumenten.
Voor sommigen is het jagen op insecten een hobby en voor anderen een volwaardige carrière. Als je in de laatste categorie valt, of ernaar streeft, zijn er tal van online cursussen die het bekijken waard zijn.