CityHost.UA
Допомога і підтримка

Від «дякую» до $2 мільйонів — скільки можна заробити на bug-bounty

 2943
14.09.2022
article

 

 

Один з видів заробітку для програмістів — пошук вразливостей у продуктах IT-компаній за допомогою програм bug-bounty. Такий вид діяльності називають білим хакінгом, а спеціалістів — етичними хакерами або баг-хантерами. Вони шукають вади у програмному забезпеченні та сервісах і повідомляють про них керівництво компанії, тим самим допомагаючи виправити помилку.

Це золота жила для тестувальників, які порівняно з розробниками мають дещо меншу оплату і можуть таким чином врівноважити свої фінансові можливості. Але загалом ловити велику рибу можуть всі, хто знається на коді — і любителі, і професійні програмісти.

Читайте також: «Вчитися програмувати самостійно чи йти на курси розробників — що вибрати?» 

Що таке bug-bounty

Bug-bounty — це політика заохочення компаніями білих хакерів. За повідомлення про вразливість можна отримати від невеликого гонорару в $100-150 до кількох сотень тисяч доларів. Все залежить від того, наскільки серйозна помилка, і до яких збитків вона могла би призвести в разі, якщо нею би скористалися зловмисники.

Що означає термін баг-баунті? Bug — це жаргонна назва помилок у коді, слово дослівно перекладається як «жук». Bounty означає «винагорода», «подарунок». 

Не завжди винагородою стають гроші — це може бути, наприклад, безкоштовний доступ до сервісів. Мотивацією пошуку багів може бути і надбання досвіду та навчання. Наприклад, Google пропонує учасникам своїх програм передати отриману винагороду у благодійні організації, якщо вони здійснювали роботу не заради грошей. 

Полювання на баги — це певною мірою лотерея. Хакер спочатку знаходить вразливість, потім створює звіт про неї (баг-репорт), надсилає компанії та очікує на рішення. В залежності від важливості знайденої помилки та рівня її загрози компанія самостійно визначає суму винагороди. Іноді може траплятися, що компанія «прийме до відома» подану інформацію, подякує хакеру і на тому співпраця завершиться. Тому перед початком роботи потрібно обов’язково ознайомлюватися з правилами програм баг-баунті, читати, які вразливості оплачуються, а які не вважаються важливими. 

Також все залежить від якості виконання звіту — якщо баг-хантер докладно розписує проблему і пропонує методи її вирішення, він отримає більшу винагороду, ніж той, хто надав поверхневий звіт. 

Але навіть виконавши хорошу роботу, спеціаліст не може бути впевнений в тому, що отримає гроші. Якщо одразу кілька баг-хантерів повідомляють про одну помилку, то приз отримує той, хто був першим. 

Та все ж винагороди, які пропонують компанії, варті спроб, адже завдяки ним можна отримати гонорар від кількох сотень до кількох сотень тисяч доларів, а найвища ставка в програмах баг-баунті поки що сягає двох мільйонів. 

Bug-bounty програми від компаній

Програми винагород можна розділити на постійні та тимчасові:

  1. Постійні програми діють весь час і спрямовані на пошук найбільш важливих і розповсюджених помилок у коді продуктів, які широко використовуються споживачем. Зайшовши на сайт IT-компанії, ви зможете знайти правила подання звітів та орієнтовні суми виплат. Іноді буває, що такого прайсу компанія не надає, ухвалюючи окремі рішення по кожному баг-репорту. Ввівши в пошук запит «назва компанії + bug bounty» ви скоріш за все знайдете таку програму. 

  2. Тимчасові програми — це щось на кшталт відкритого тестування, у якому може взяти участь будь-хто. Компанія оголошує терміни, протягом яких приймає звіти про знайдені вразливості, та визначає, кому дістануться грошові винагороди. Найчастіше таким чином тестують нові продукти. 

Тут ми розкажемо про постійні програми від компаній, якими можна скористатися в будь-який час. 

Facebook, Instagram та інші продукти компанії Meta

Компанія Meta винагороджує білих хакерів за пошук вразливостей у своїх продуктах, таких як Facebook, Messenger, Instagram, WhatsApp, Workplace та інших додатках, а також у програмах із відкритим кодом. У правилах ви зможете прочитати, яким чином можна здійснювати тестування помилок. 

  • Тестування можна проводити тільки з власного акаунту, або тестового, або чужого, але тільки при наявності письмової згоди. 

  • Ділитися з кимось інформацією про виявлену помилку дозволено тільки після того, як компанія проведе розслідування та зробить висновок щодо вразливості.

  • Під час пошуку помилок не дозволяється взаємодіяти з акаунтами інших людей та отримувати доступ до їхньої особистої інформації без письмової на те згоди. 

Це тільки деякі пункти, які ми вирішили винести у статтю, насправді ж їх більше. У кожної компанії є подібний перелік, тому ще раз наголошуємо — перед початком роботи уважно читайте правила. 

Meta не оголошує розцінки за знайдені баги, залишаючи за собою право самостійно призначати винагороду в кожному окремому випадку. 

Amazon

Один із найбільших маркетплейсів світу Amazon виклав для баг-хантерів перелік винагород за знайдені помилки. Компанія наголошує, що в списку вказані найвищі можливі винагороди, а більш точно сума буде визначатися під час аналізу баг-репорта. 

Ось таким чином платформа оцінює знайдені помилки за ризиками: 

  • Критичні — $10 000-$20 000

  • Високі — $1500-$5000

  • Середні — $350-500

  • Низький рівень загрози —  $150

Тут також є цілий ряд виключень і застережень. Так, до інтересів програми не входять помилки, знайдені в IP-просторі AWS (це платформа хмарних технологій, яка належить Amazon, але все ж є іншою компанією). 

Заборонено націлювати тестові атаки на працівників та клієнтів Amazon і вимагати, щоб вам заплатили за знайдений баг погрозами його використання проти компанії.

Microsoft

Дітище Білла Гейтса також оголосило полювання за багами і виклало доволі великий список винагород, які можна отримати за знайдені помилки.

Найбільші суми — по $100 000 за вразливості в сервісах Identity, включаючи Microsoft Account, Azure Active Directory або вибрані стандарти OpenID, а також за знайдення методів обходу засобів захисту, вбудованих в останню версію операційної системи Windows. 

Apple

Компанія Apple має фіксовану програму винагород за певні види вразливостей. Прайс та правила отримання можна прочитати за посиланням.

Одну з найбільших винагород компанія пропонує за знайдення вразливостей, через які можна здійснювати атаку зеро-клік.

Баг-баунті програма від Apple

А цього літа Apple оголосила гонорар за виявлення помилки у безпеці для нової функції режиму блокування, який покликаний захистити користувачів від атак шпигунських програм. Програма баг-баунті почне працювати вже цієї осені — слідкуйте за новинами компанії.

Також IT-гігант подвоїв виплату за результативні пошуки вразливостей в режимі блокування зі стандартного мільйона до $2 000 000 — наразі це найвища сума за знайдені помилки в галузі. 

Google

Google пропонує програму винагород за знайдені помилки у всіх своїх продуктах. Це стосується всіх сервісів додатків та служб, розміщених на доменах blogger.com, google.com, projectbaseline.com, youtube.com, verily.com, onduo.com, а також ОС Android, браузера Chrome та стороннього програмного забезпечення з відкритим кодом, частини якого використовуються в розробках самого Google.

Зараз пояснимо, що означає остання фраза. Під час створення програмних продуктів компанія не завжди заново пише код, а може використовувати відкриті бібліотеки. Це дозволяє економити час та зусилля, і не робити зайву роботу, вже виконану іншими програмістами. Виплачуючи винагороду за такі помикли, компанія не лише захищає себе та своїх клієнтів, а й робить більш безпечним весь простір інтернету. 

Найбільша запропонована компанією сума винагороди — $31 337.

Читайте також: «Як прибрати російські сайти з пошуку Google». 

PornHub

Еге ж, порносайти також дбають про свою безпеку, а особиливо такий відомий ресурс як PornHub. Про баг-баунті програму від нього жартують, що це хороший спосіб сумістити приємне з корисним. Поза тим, знайшовши баг на порнохостингу, можна отримати до $5000. 

До речі, ви могли помітити, що для Amazon та PornHub програма винагород розміщена не на самому ресурсі, а на платформі, яка спеціалізується на посередницьких послугах між баг-хантерами і IT-компаніями. Це вигідно для проектів, яким занадто дорого тримати власний штат експертів, які будуть виносити вердикти по баг-репортам.

Bug-bounty платформи

Це окремий вид бізнесу, який дозволяє користуватися послугами білих хакерів молодим або локальним компаніям з невеликими бюджетами, а також сервісам, які самі не займаються програмною розробкою. Але питання не лише в тому, що не всі компанії мають достатньо ресурсів чи персоналу, щоб оголошувати власну програму пошуку багів. Більшість проектів не настільки відомі, щоб баг-хантери цілеспрямовано шукали з ними співпрацю. Тому й існують такі «біржі», на яких IT-компанії викладають пропозиції, а пошукачі пробують сили в полюванні на вразливості.

HackerOne

Це одна з найстаріших компаній, яка почала використовувати з метою кібербезпеки досвід спільноти білих хакерів та пропонувати їхні послуги IT-структурам по всьому світові. HackerOne існує з 2012 року і має головний офіс у Сан-Франциско, офіси в Лондоні та Нідерландах. 

Компанія була створена з метою зробити інтернет більш безпечним і вже 10 років виголошує цю ідею як свою головну місію. 

Hacker One

Bugcrowd

Потужна краудсорсингова платформа, заснована у 2011 році в Австралії. Bugcrowd спеціалізується на широкому спектрі вразливостей і співпрацює з великими світовими бізнес-гравцями. Серед них такі компанії як Mastercard, Tesla, Fitbit, Atlassian, Square, Samsung; платформа навіть виконує замовлення міністерства оборони США та ВПС. Працює в майже 30 країнах.

HackenProof

Українська платформа баг-баунті, входить до групи компаній Hacken, які спеціалізуються на кібербезпеці. HackenProof є одним з ініціаторів пошуку вразливостей в українських державних сервісах з метою покращення їхньої безпеки, а після початку повномасштабного вторгнення оголосила кібервійну росії. 

Компанія заснована в 2017 році, але вже співпрацює з потужними гравцями на ринку IT та впевнено конкурує з ветеранами своєї галузі.

***

Це короткий екскурс у світ білого хакінгу та винагород за знайдені баги. Існує багато платформ і програм баг-баунті, завдяки яким можна зробити пошук вразливостей своєю основною спеціальністю і мати з цього непоганий прибуток. 

Читайте також: «Огляд закордонних бірж фрілансу: Upwork, Freelancer, Fiverr» 


Сподобалася стаття? Розкажіть про неї друзям: