CityHost.UA
Помощь и поддержка

От «спасибо» до $2 миллионов — сколько можно заработать на bug-bounty

 1038
14.09.2022
article

 


Один из видов заработка для программистов – поиск уязвимостей в продуктах IT-компаний с помощью программ bug-bounty. Такой вид деятельности называют белым хакингом, а специалистов – этичными хакерами или баг-хантерами. Они ищут недостатки в программном обеспечении и сервисах и сообщают о них руководству компании, тем самым помогая исправить ошибку.

Это золотая жила для тестировщиков, которые по сравнению с разработчиками имеют меньшую оплату и могут таким образом уравновесить свои финансовые возможности. Но в общем ловить крупную рыбу могут все, кто разбирается в коде — и любители, и профессиональные программисты.

Читайте также: «Учиться программировать самостоятельно или идти на курсы разработчиков – что выбрать

Что такое bug-bounty

Bug-bounty – это политика поощрения компаниями белых хакеров. За уведомление об уязвимости можно получить от небольшого гонорара в $100-150 до нескольких сотен тысяч долларов. Все зависит от того, насколько серьезна ошибка, и к каким убыткам она могла бы привести в случае, если бы ею воспользовались злоумышленники.

Что означает термин баг-баунти? Bug – это жаргонное название ошибок в коде, слово дословно переводится как «жук». Bounty означает «вознаграждение», «подарок».

Не всегда вознаграждением становятся деньги – это может быть, например, бесплатный доступ к сервисам. Мотивацией поиска багов может быть и приобретение опыта и обучения. К примеру, Google предлагает участникам своих программ передать полученное вознаграждение в благотворительные организации, если они осуществляли работу не ради денег.

Охота на баги – это в известной степени лотерея. Хакер сначала находит уязвимость, затем создает отчет о ней (баг-репорт), присылает компании и ожидает решения. В зависимости от важности найденной ошибки и уровня ее угрозы, компания самостоятельно определяет сумму вознаграждения. Иногда может случаться, что компания «примет к сведению» предоставленную информацию, поблагодарит хакера и на том сотрудничество завершится. Поэтому перед началом работы нужно обязательно ознакомиться с правилами программ баг-баунти, читать, какие уязвимости оплачиваются, а какие не считаются важными.

Также все зависит от качества выполнения отчета — если баг-хантер подробно расписывает проблему и предлагает методы ее решения, он получит большее вознаграждение, чем предоставивший поверхностный отчет.

Но даже проделав хорошую работу, специалист не может быть уверен в том, что получит деньги. Если сразу несколько баг-хантеров сообщают об одной ошибке, то приз получает тот, кто был первым.

И все же вознаграждения, которые предлагают компании, достойны попыток, ведь благодаря им можно получить гонорар от нескольких сотен до нескольких сотен тысяч долларов, а самая высокая ставка в программах баг-баунти пока достигает двух миллионов.

Bug-bounty программы от компаний

Программы вознаграждений можно разделить на постоянные и временные:

  1. Постоянные программы действуют постоянно и направлены на поиск наиболее важных и распространенных ошибок в коде продуктов, широко используемых потребителем. Зайдя на сайт IT-компании, вы сможете найти правила подачи отчетов и ориентировочные суммы выплат. Иногда бывает, что такой прайс компания не предоставляет, принимая отдельные решения по каждому баг-репорту. Введя в поиск запрос «название компании + bug bounty» вы скорее всего найдете такую ​​программу.

  2. Временные программы — это нечто вроде открытого тестирования, в котором могут принять участие кто угодно. Компания объявляет сроки, в течение которых принимает отчеты о найденных уязвимостях и определяет, кому достанутся денежные вознаграждения. Чаще всего таким образом тестируют новые продукты.

Здесь мы расскажем о постоянных программах от компаний, которыми можно воспользоваться в любое время.

Facebook, Instagram и другие продукты компании Meta

Компания Meta вознаграждает белых хакеров за поиск уязвимостей в своих продуктах, таких как Facebook, Messenger, Instagram, WhatsApp, Workplace и других приложениях, а также в приложениях с открытым кодом. В правилах вы сможете прочесть, каким образом можно осуществлять тестирование ошибок.

  • Тестирование можно проводить только с собственного аккаунта, либо тестового, либо чужого, но только при наличии письменного согласия.

  • Делиться с кем-то информацией об обнаруженной ошибке можно только после того, как компания проведет расследование и сделает вывод об уязвимости.

  • При поиске ошибок не разрешается взаимодействовать с аккаунтами других людей и получать доступ к их личной информации без письменного согласия.

Это только некоторые пункты, которые мы решили вынести в статью, на самом же деле их больше. У каждой компании есть подобный перечень, потому еще раз подчеркиваем — перед началом работы внимательно читайте правила.

Meta не объявляет расценки за найденные баги, оставляя за собой право самостоятельно назначать вознаграждение в каждом случае.

Amazon

Один из самых больших маркетплейсов мира Amazon выложил для баг-хантеров перечень вознаграждений за найденные ошибки. Компания отмечает, что в списке указаны самые высокие вознаграждения, а более точно сумма будет определяться при анализе баг-репорта.

Вот таким образом платформа оценивает найденные ошибки по рискам:

  • Критические — $10 000-$20 000

  • Высокие — $1500-$5000

  • Средние — $350-500

  • Низкий уровень угрозы — $150.

Здесь также есть целый ряд исключений и оговорок. Так, в интересы программы не входят ошибки, найденные в IP-пространстве AWS (это платформа облачных технологий, принадлежащая Amazon, но все же другой компании).

Запрещено нацеливать тестовые атаки на сотрудников и клиентов Amazon и требовать, чтобы вам заплатили за найденный баг, угрозой его использования против компании.

Microsoft

Детище Билла Гейтса также объявило охоту за багами и выложило довольно обширный список вознаграждений, которые можно получить за найденные ошибки.

Наибольшие суммы — по $100 000 за уязвимости в сервисах Identity, включая Microsoft Account, Azure Active Directory или выбранные стандарты OpenID, а также за поиск методов обхода средств защиты, встроенных в последнюю версию операционной системы Windows.

Apple

Компания Apple имеет фиксированную программу вознаграждений за определенные виды уязвимостей. Прайс и правила получения можно прочесть по ссылке.

Одно из крупнейших вознаграждений компания предлагает за обнаружение уязвимостей, через которые можно совершить атаку зеро-клик.

Прорамма баг-баунти от Apple

А этим летом Apple объявила гонорар за обнаружение ошибки в безопасности для новой функции режима блокировки, призванного защитить пользователей от атак шпионских программ. Программа баг-баунти заработает уже этой осенью – следите за новостями компании.

Также IT-гигант удвоил выплату за результативные поиски уязвимостей в режиме блокировки со стандартного миллиона до $2 000 000 — это самая высокая сумма за найденные ошибки в отрасли.

Google

Google предлагает программу вознаграждений за найденные ошибки во всех своих продуктах. Это касается всех сервисов приложений и служб, размещенных на доменах blogger.com, google.com, projectbaseline.com, youtube.com, verily.com, onduo.com, а также ОС Android, браузера Chrome и стороннего программного обеспечения с открытым кодом, части которого используются в разработках самого Google.

Теперь объясним, что означает последняя фраза. При создании программного обеспечения компания не всегда заново пишет код, а может использовать открытые библиотеки. Это позволяет экономить время и усилия и не делать лишнюю работу, уже выполненную другими программистами. Выплачивая вознаграждение за такие ошибки, компания не только защищает себя и своих клиентов, но и делает более безопасным все пространство интернета.

Самая большая предложенная компанией сумма вознаграждения – $31 337.

Читайте также: «Как убрать российские сайты из поиска Google».

PornHub

Да, порносайты также заботятся о своей безопасности, а особенно такой известный ресурс как PornHub. О баг-баунти программе от него шутят, что это хороший способ совместить приятное с полезным. Так или иначе, найдя баг на порнохостинге, можно получить до $5000.

Кстати, вы могли заметить, что для Amazon и PornHub программа вознаграждений размещена не на самом ресурсе, а на платформе, специализирующейся на посреднических услугах между баг-хантерами и IT-компаниями. Это выгодно для проектов, которым слишком дорого держать собственный штат экспертов, которые будут выносить вердикты по баг-репортам.

Bug-bounty платформы

Это отдельный вид бизнеса, позволяющий пользоваться услугами белых хакеров молодым или локальным компаниям с небольшими бюджетами, а также сервисам, которые сами не занимаются программной разработкой. Но вопрос не только в том, что у всех компаний достаточно ресурсов или персонала, чтобы объявлять собственную программу поиска багов. Большинство проектов не столь известны, чтобы баг-хантеры целенаправленно искали с ними сотрудничество. Потому и существуют такие «биржи», на которых IT-компании выкладывают предложения, а соискатели пробуют силы в охоте на уязвимости.

HackerOne

Это одна из старейших компаний, которая стала использовать в целях кибербезопасности опыт сообщества белых хакеров и предлагать их услуги IT-структурам по всему миру. HackerOne существует с 2012 года и имеет главный офис в Сан-Франциско, офисы в Лондоне и Нидерландах.

Компания была создана с целью сделать Интернет более безопасным и уже 10 лет провозглашает эту идею как свою главную миссию.

Hacker One

Bugcrowd

Мощная краудсорсинговая платформа, основанная в 2011 году в Австралии. Bugcrowd специализируется на широком спектре уязвимостей и сотрудничает с крупными мировыми бизнес-игроками. Среди них такие компании, как Mastercard, Tesla, Fitbit, Atlassian, Square, Samsung; платформа выполняет заказы министерства обороны США и ВВС. Работает почти в 30 странах.

HackenProof

Украинская платформа баг-баунти, входит в группу компаний Hacken, специализирующихся на кибербезопасности. HackenProof является одним из инициаторов поиска уязвимостей в украинских государственных сервисах с целью улучшения их безопасности, а после начала полномасштабного вторжения объявила кибервойну России.

Компания основана в 2017 году, но уже сотрудничает с мощными игроками на рынке IT и уверенно конкурирует с ветеранами своей отрасли.

***

Это краткий экскурс в мир белого хакинга и наград за найденные баги. Существует много платформ и программ баг-баунти, благодаря которым можно сделать поиск уязвимостей своей основной специальностью и извлечь из этого неплохую прибыль.

Читайте также: «Обзор зарубежных бирж фриланса: Upwork, Freelancer, Fiverr»


Понравилась статья? Расскажите о ней друзьям: