CityHost.UA
  • Русский
  • Українська
  • English
  • Deutsch

  • Kijów

    (044)3-777-4-88

  • Kyivstar

    (096) 365-38-58

  • Lifecell

    (093) 170-17-68

  • Vodafone

    (066) 922-59-58
Pomoc i wsparcie

Od „dziękuję” do 2 milionów dolarów — ile można zarobić na bug-bounty

 9731
14.09.2022
article

 


Jednym ze sposobów zarabiania dla programistów – jest poszukiwanie luk w produktach firm IT za pomocą programów bug-bounty. Tego rodzaju działalność nazywa się białym hackingiem, a specjalistów – etycznymi hakerami lub łowcami błędów. Szukają oni wad w oprogramowaniu i usługach i informują o nich kierownictwo firmy, tym samym pomagając naprawić błąd.

To złota okazja dla testerów, którzy w porównaniu z programistami mają mniejsze wynagrodzenie i mogą w ten sposób zrównoważyć swoje możliwości finansowe. Ale ogólnie łapać dużą rybę mogą wszyscy, którzy znają się na kodzie — zarówno amatorzy, jak i profesjonalni programiści.

Przeczytaj także: «Uczyć się programować samodzielnie czy iść na kursy programistów – co wybrać

Czym jest bug-bounty

Bug-bounty – to polityka nagradzania przez firmy białych hakerów. Za zgłoszenie luki można otrzymać od niewielkiego wynagrodzenia w wysokości 100-150 USD do kilku setek tysięcy dolarów. Wszystko zależy od tego, jak poważny jest błąd i jakie straty mógłby spowodować w przypadku, gdyby wykorzystali go przestępcy.

Co oznacza termin bug-bounty? Bug – to slangowe określenie błędów w kodzie, słowo dosłownie tłumaczy się jako «robak». Bounty oznacza «nagrodę», «prezent».

Nie zawsze nagrodą są pieniądze – może to być na przykład bezpłatny dostęp do usług. Motywacją do poszukiwania błędów może być także zdobycie doświadczenia i nauki. Na przykład Google oferuje uczestnikom swoich programów przekazanie otrzymanej nagrody na organizacje charytatywne, jeśli wykonywali pracę nie dla pieniędzy.

Polowanie na błędy – to w pewnym sensie loteria. Haker najpierw znajduje lukę, następnie tworzy raport o niej (bug-report), wysyła go do firmy i czeka na decyzję. W zależności od ważności znalezionego błędu i poziomu jego zagrożenia, firma samodzielnie określa wysokość nagrody. Czasami może się zdarzyć, że firma «weźmie pod uwagę» dostarczone informacje, podziękuje hakerowi i na tym współpraca się zakończy. Dlatego przed rozpoczęciem pracy należy koniecznie zapoznać się z zasadami programów bug-bounty, czytać, które luki są opłacane, a które nie są uważane za ważne.

Również wszystko zależy od jakości wykonania raportu — jeśli łowca błędów szczegółowo opisuje problem i proponuje metody jego rozwiązania, otrzyma większą nagrodę niż ten, który dostarczył powierzchowny raport.

Ale nawet wykonując dobrą pracę, specjalista nie może być pewny, że otrzyma pieniądze. Jeśli kilku łowców błędów zgłasza ten sam błąd, nagrodę otrzymuje ten, kto był pierwszy.

I mimo to nagrody, które oferują firmy, są warte prób, ponieważ dzięki nim można uzyskać wynagrodzenie od kilku setek do kilku setek tysięcy dolarów, a najwyższa stawka w programach bug-bounty wynosi obecnie dwa miliony.

Programy bug-bounty od firm

Programy nagród można podzielić na stałe i czasowe:

  1. Stałe programy działają nieprzerwanie i mają na celu znalezienie najważniejszych i najczęściej występujących błędów w kodzie produktów szeroko stosowanych przez konsumentów. Wchodząc na stronę firmy IT, można znaleźć zasady składania raportów i orientacyjne kwoty wypłat. Czasami zdarza się, że taka cena nie jest podawana przez firmę, podejmując osobne decyzje w każdym przypadku raportu o błędzie. Wpisując w wyszukiwarkę zapytanie «nazwa firmy + bug bounty», prawdopodobnie znajdziesz taki ​​program.

  2. Czasowe programy — to coś w rodzaju otwartego testowania, w którym może wziąć udział każdy. Firma ogłasza terminy, w których przyjmuje raporty o znalezionych lukach i określa, komu przypadną nagrody pieniężne. Najczęściej w ten sposób testowane są nowe produkty.

Tutaj opowiemy o stałych programach od firm, z których można skorzystać w dowolnym momencie.

Facebook, Instagram i inne produkty firmy Meta

Firma Meta nagradza białych hakerów za poszukiwanie luk w swoich produktach, takich jak Facebook, Messenger, Instagram, WhatsApp, Workplace i innych aplikacjach, a także w aplikacjach z otwartym kodem. W zasadach możesz przeczytać, w jaki sposób można przeprowadzać testowanie błędów.

  • Testowanie można przeprowadzać tylko z własnego konta, albo testowego, albo cudze, ale tylko za pisemną zgodą.

  • Dzielić się z kimś informacjami o odkrytym błędzie można tylko po tym, jak firma przeprowadzi dochodzenie i wyciągnie wnioski o luce.

  • Podczas poszukiwania błędów nie wolno wchodzić w interakcje z kontami innych osób i uzyskiwać dostępu do ich danych osobowych bez pisemnej zgody.

To tylko niektóre punkty, które postanowiliśmy wyróżnić w artykule, w rzeczywistości jest ich więcej. Każda firma ma podobną listę, dlatego jeszcze raz podkreślamy — przed rozpoczęciem pracy dokładnie przeczytaj zasady.

Meta nie ogłasza stawek za znalezione błędy, zastrzegając sobie prawo do samodzielnego ustalania nagrody w każdym przypadku.

Amazon

Jedna z największych platform handlowych na świecie, Amazon, opublikowała dla łowców błędów listę nagród za znalezione błędy. Firma podkreśla, że w liście znajdują się najwyższe nagrody, a dokładna kwota będzie określana podczas analizy raportu o błędzie.

W ten sposób platforma ocenia znalezione błędy według ryzyka:

  • Krytyczne — 10 000-20 000 USD

  • Wysokie — 1500-5000 USD

  • Średnie — 350-500 USD

  • Niski poziom zagrożenia — 150 USD.

Tutaj również istnieje szereg wyjątków i zastrzeżeń. Tak, w interesie programu nie znajdują się błędy znalezione w przestrzeni IP AWS (to platforma technologii chmurowych, należąca do Amazon, ale wciąż innej firmy).

Zabronione jest kierowanie testowych ataków na pracowników i klientów Amazon oraz żądanie, aby zapłacono za znaleziony błąd, grożąc jego wykorzystaniem przeciwko firmie.

Microsoft

Dzieło Billa Gatesa również ogłosiło polowanie na błędy i opublikowało dość obszerny spis nagród, które można uzyskać za znalezione błędy.

Najwyższe kwoty — po 100 000 USD za luki w usługach Identity, w tym Microsoft Account, Azure Active Directory lub wybrane standardy OpenID, a także za poszukiwanie metod omijania zabezpieczeń wbudowanych w najnowszą wersję systemu operacyjnego Windows.

Apple

Firma Apple ma ustaloną program nagród za określone rodzaje luk. Cennik i zasady uzyskania można przeczytać pod tym linkiem.

Jedna z największych nagród firma oferuje za odkrycie luk, przez które można przeprowadzić atak zero-click.

Program bug-bounty od Apple

A tego lata Apple ogłosiła wynagrodzenie za odkrycie błędu w zabezpieczeniach nowej funkcji trybu blokady, mającego na celu ochronę użytkowników przed atakami złośliwego oprogramowania. Program bug-bounty ruszy już tej jesieni – śledź wiadomości firmy.

Również gigant IT podwoił wypłatę za skuteczne poszukiwania luk w trybie blokady z standardowego miliona do 2 000 000 USD — to najwyższa kwota za znalezione błędy w branży.

Google

Google oferuje program nagród za znalezione błędy we wszystkich swoich produktach. Dotyczy to wszystkich usług aplikacji i usług, umieszczonych na domenach blogger.com, google.com, projectbaseline.com, youtube.com, verily.com, onduo.com, a także systemu operacyjnego Android, przeglądarki Chrome i oprogramowania open source, którego część jest wykorzystywana w opracowaniach samego Google.

Teraz wyjaśnimy, co oznacza ostatnia fraza. Przy tworzeniu oprogramowania firma nie zawsze pisze kod od nowa, ale może korzystać z otwartych bibliotek. To pozwala zaoszczędzić czas i wysiłek i nie wykonywać zbędnej pracy, już wykonanej przez innych programistów. Wypłacając nagrodę za takie błędy, firma nie tylko chroni siebie i swoich klientów, ale także czyni całe przestrzeń internetu bezpieczniejszym.

Największa proponowana przez firmę kwota nagrody – 31 337 USD.

Przeczytaj także: «Jak usunąć rosyjskie strony z wyszukiwania Google».

PornHub

Tak, strony pornograficzne również dbają o swoje bezpieczeństwo, a szczególnie tak znany zasób jak PornHub. O programie bug-bounty od niego żartuje się, że to dobry sposób na połączenie przyjemnego z pożytecznym. Tak czy inaczej, znajdując błąd na portalu pornograficznym, można otrzymać do 5000 USD.

Przy okazji, mogłeś zauważyć, że dla Amazon i PornHub program nagród nie jest umieszczony na samej stronie, ale na platformie, specjalizującej się w usługach pośredniczących między łowcami błędów a firmami IT. To korzystne dla projektów, którym zbyt kosztowne jest utrzymanie własnego zespołu ekspertów, którzy będą wydawać wyroki w sprawach raportów o błędach.

Platformy bug-bounty

To osobny rodzaj biznesu, pozwalający korzystać z usług białych hakerów młodym lub lokalnym firmom z niewielkimi budżetami, a także serwisom, które same nie zajmują się tworzeniem oprogramowania. Ale kwestia nie dotyczy tylko tego, że wszystkie firmy mają wystarczające zasoby lub personel, aby ogłaszać własny program poszukiwania błędów. Większość projektów nie jest na tyle znana, aby łowcy błędów celowo szukali z nimi współpracy. Dlatego istnieją takie «giełdy», na których firmy IT publikują oferty, a kandydaci próbują swoich sił w polowaniu na luki.

HackerOne

To jedna z najstarszych firm, która zaczęła wykorzystywać w celach cyberbezpieczeństwa doświadczenie społeczności białych hakerów i oferować ich usługi strukturom IT na całym świecie. HackerOne istnieje od 2012 roku i ma główną siedzibę w San Francisco, biura w Londynie i Holandii.

Firma została założona w celu uczynienia Internetu bezpieczniejszym i od 10 lat głosi tę ideę jako swoją główną misję.

Hacker One

Bugcrowd

Potężna platforma crowdsourcingowa, założona w 2011 roku w Australii. Bugcrowd specjalizuje się w szerokim zakresie luk i współpracuje z dużymi światowymi graczami biznesowymi. Wśród nich są takie firmy jak Mastercard, Tesla, Fitbit, Atlassian, Square, Samsung; platforma realizuje zamówienia ministerstwa obrony USA i sił powietrznych. Działa w prawie 30 krajach.

HackenProof

Ukraińska platforma bug-bounty, wchodzi w skład grupy firm Hacken, specjalizujących się w cyberbezpieczeństwie. HackenProof jest jednym z inicjatorów poszukiwania luk w ukraińskich usługach państwowych w celu poprawy ich bezpieczeństwa, a po rozpoczęciu pełnoskalowej inwazji ogłosiła cyberwojnę Rosji.

Firma została założona w 2017 roku, ale już współpracuje z potężnymi graczami na rynku IT i pewnie konkuruje z weteranami swojej branży.

***

To krótki wgląd w świat białego hackingu i nagród za znalezione błędy. Istnieje wiele platform i programów bug-bounty, dzięki którym można uczynić poszukiwanie luk swoją główną specjalnością i uzyskać z tego niezły zysk.

Przeczytaj także: «Przegląd zagranicznych giełd freelancingu: Upwork, Freelancer, Fiverr»


Podobał Ci się artykuł? Powiedz o nim znajomym:

Author: Bohdana Haivoronska

Journalist (since 2003), IT copywriter (since 2013), content marketer at Cityhost.ua. Specializes in articles about technology, creation and promotion of sites.

Poprzedni artykuł

Jak wiek strony wpływa na pozycjonowanie w Google

Następny artykuł

Domeny drop: jak kupić domenę z dobrą historią i do czego jest potrzebna
Podobne artykuły
Nasze usługi

Hosting wirtualny

Rejestracja domen

Serwery wirtualne

Serwery

Certyfikaty SSL

Rejestracja znaku towarowego

Usługa SMS

Darmowa usługa Call Back

CityHost

Usługi

2004 - 2025 „CityHost” — profesjonalny
płatny hosting w Ukrainie.