Bug bounty-programmer har vært populære siden 1990-tallet da Netscape først introduserte dem for Netscape Navigator 2.0 Beta-nettleseren.
Siden den gang har bug bounty-programmer vært en utmerket måte for teknologiselskaper å crowdsource for å få hjelp til å forbedre produktene og tjenestene deres. I hovedsak er bug bounty-programmer en åpen oppfordring til etiske hackere og forskere om å se etter store feil i visse tjenester eller programvare.
Flere store teknologiselskaper kjører konsekvent bug bounty-programmer ved hjelp av etiske hackere og teknologifans. Ved å rapportere disse feilene hjelper disse hackerne med å forbedre kvaliteten på produktene og se etter ting som ingeniører i selskapet kan ha gått glipp av.
Vi fremhever noen av de beste bug-bounty-programmene fra hele verden som du kan delta i.
1. Eple
Apple kjører et sikkerhetspremieprogram som belønner forskere og etiske hackere for forskjellige feil funnet.
Dusørkategoriene inkluderer iCloud, nettverksangrep og enhetsangrep. Den høyeste belønningen går for $1 000 000 til alle som kan demonstrere en feil i en null-klikks kjernekodekjøring med utholdenhet og kjerne-PAC-bypass.
Hvis du er interessert i å delta i et av Apples sikkerhetspremieprogrammer, sørg for å lese nettstedet deres først, da det beskriver kvalifikasjonskrav og måter du kan maksimere utbetalingen på. Nettstedet deler også måter du sender rapporten på og annen tilleggsinformasjon du måtte trenge.
2. ExpressVPN
Virtuelt privat nettverksselskap ExpressVPN kjører et bug bounty-program for VPN-serverteknologien TrustedServer.
ExpressVPNs bonus på $100 000 er en av de høyeste dusørene som noen gang er tilbudt på Bugcrowd. Belønningen vil gå til den første personen som sender inn en gyldig og kritisk sårbarhet spesifisert av selskapet.
TrustedServer forhindrer ExpressVPNs serveroperativsystem og apper fra å skrive informasjon og data til en harddisk. Serveren kjører på RAM og slettes helt nesten hver uke når operativsystemet blir installert på nytt. Dette forhindrer potensielle inntrengere fra å få tilgang til data.
3. Facebook
Facebook, eller Meta, har et bug-bounty-program som ser etter problemer i deres store utvalg av produkter. Alle inviteres til å rapportere sikkerhetsfeil fra Metas eide produkter, enten det er Facebook, Instagram eller WhatsApp.
På grunn av den store mengden produkter som eies, har Meta en lang og detaljert liste av teknologi og kvalifikasjonskrav for hver plattform som alle bør lese før de prøver å lete etter feil.
I tillegg til å detaljere kravene, takker Meta offentlig alle bug-premiejegere gjennom årene. Utbetalinger fra Metas bug-bounty-programmer kan variere fra $5 000 til $40 000. I 2021 introduserte Meta også en utbetalingstidsbonus der spesifikke bonuser vil bli laget mellom bestemte tider. For eksempel vil utbetalinger mellom 30 og 59 dager motta en bonus på 5 %, og utbetalinger som gjøres mellom 60 og 89 dager kan få en bonus på 7,5 %.
4. Intel
Intels bug-bounty fokuserer hovedsakelig på selskapets programvare, fastvare og maskinvare. Etiske hackere vil forventes å se etter problemer innenfor Pentium-, Celeron- og Intel Atom-prosessorene.
Dessverre belønner ikke programmet forskere som finner feil i selskapets tredjepartsprogramvare eller oppkjøp.
Akkurat nå jobber Intel med et tredjepartsbyrå, Intigriti, for å kjøre deres bug bounty-programmer. Utbetalinger er rapportert å variere mellom $500 til $30 000. Vurderer 75 % av sentrale prosessorenheter for bærbare datamaskiner bruker Intel-prosessorervil enhver feil du finner i betydelig grad hjelpe andre mennesker.
5. Google
I stedet for å kalle det et bug bounty-program, kaller Google programmet sitt for Google and Alphabet Vulnerability Reward Program (VRP).
I motsetning til andre selskaper, begrenser ikke Google forskere til spesifikke plattformer og vil belønne alle i nettsikkerhetsfellesskapet som kan finne problemer på hvilken som helst Google-, Blogger- eller YouTube-side. VRP-en dekker bare design- og implementeringsproblemer, så sørg for å se etter dem.
Før du legger ut på reisen for å finne feil, må du sjekke Googles VRP-side for å sikre at du er oppdatert på kravene og kvalifikasjonsfaktorene.
Googles utbetaling varierer fra minimum $100 til $31 337.
Generelt er bug-bounty-programmer en utmerket måte for etiske hackere, forskere og superfans av visse selskaper å utvide sin kunnskap om cybersikkerhet. For noen bug-bounty-programmer fungerer som en utmerket måte for forskere å tjene penger på. Med tanke på beløpet noen store teknologiselskaper er villige til å betale, er det ingen overraskelse. Mens lukrative utbetalinger er perfekte insentiver, liker mange forskere rett og slett å lete etter feil og løse problemer til det beste.