Jede Software hat Fehler oder Fehler, die Probleme verursachen. Sie reichen von banalen Problemen, die die Softwareleistung nicht wesentlich beeinträchtigen, bis hin zu schwerwiegenden Sicherheitslücken.
Bugs können schwer zu erkennen sein, weshalb viele Technologieunternehmen Bug-Bounty-Programme haben. Aber was genau sind Bug-Bounty-Programme? Wie funktionieren sie und wie tragen sie zur Verbesserung der Produktsicherheit bei?
Wie Bug-Bounty-Programme funktionieren
Unternehmen starten Bug-Bounty-Programme, um Anreize zu schaffen White-Hat-Hacker um nach Sicherheitslücken und ähnlichen Schwachstellen in Software zu suchen. Normalerweise gibt es einen mehr als anständigen Geldpreis für diejenigen, die einen Fehler entdecken, egal wie unbedeutend er für den Durchschnittsbürger erscheinen mag.
Und es sind nicht nur kleine, aufstrebende Unternehmen, die Bug-Bounty-Programme haben. Tatsächlich werden sie von den meisten Technologiegiganten betrieben, darunter Google, Microsoft, Facebook und Apple. Einzelheiten zu diesen Programmen finden Sie normalerweise auf der offiziellen Website eines Unternehmens. Meistens gibt es mehrere Ebenen oder Kategorien. Aber im Prinzip gilt: Je schwerwiegender ein Bug, desto höher die Belohnung.
Sobald ein White-Hat-Hacker einen Fehler entdeckt, reicht er einen detaillierten Offenlegungsbericht ein, in dem er erklärt, was er gefunden hat. Die Ingenieure des Unternehmens überprüfen und untersuchen dann die Einreichung, und wenn sich die Ergebnisse des Forschers als genau und nützlich erweisen, werden sie benachrichtigt und erhalten eine finanzielle Belohnung.
Dieses System funktioniert sowohl für Unternehmen als auch für unabhängige Forscher. Aus der Sicht eines jeden Unternehmens ist es besser, dass ein ethischer Hacker einen Fehler entdeckt, als ein Bedrohungsakteur, der höchstwahrscheinlich weitermachen würde ausnutzen, bevor es gepatcht wird, was zu Schäden in Millionenhöhe führen kann. Hacker hingegen machen einen netten Batzen an Geld, indem sie an Bug-Bounty-Programmen teilnehmen – einige verdienen sogar ein Vollzeiteinkommen, indem sie Software-Schwachstellen entdecken.
Beispiele für Bug-Bounty-Programme zur Verbesserung der Softwaresicherheit
Es ist gut zu wissen, wie Bug-Bounty-Programme theoretisch funktionieren, aber werfen wir einen Blick auf ein paar reale Beispiele von Unternehmen, die massive Summen an White-Hat-Hacker zahlen.
In Zusammenarbeit mit der Bug-Bounty-Plattform Immunefi, der dezentralen Blockchain-Bridge-Plattform Wormhole startete im Februar 2022 ein Prämienprogramm, das jedem, der eine kritische Sicherheit entdeckt, 10 Millionen US-Dollar bietet Insekt. Schon bald entdeckte ein White-Hat-Hacker unter dem Pseudonym satya0x einen. Wie Immunefi in a Mittel post, hätte der Fehler dazu führen können, dass Benutzergelder gesperrt wurden, also erhielt satya0x 10 Millionen Dollar für die Offenlegung.
Ebenfalls im Februar 2022 findet die Kryptowährungsbörse statt Münzbasis zahlte einem unabhängigen Forscher eine Belohnung von 250.000 US-Dollar für die Bug-Prämie für die Entdeckung eines großen Fehlers in der Handelsschnittstelle der Plattform.
Aurora Labs, das Unternehmen hinter der virtuellen Maschine Aurora Ethereum (ETH), zahlte im April 2022 eine massive Prämie von 6 Millionen US-Dollar aus. Das Geld wurde einem ethischen Hacker namens pwning.eth zugesprochen, nachdem er eine Schwachstelle entdeckt hatte hätte es Bedrohungsakteuren ermöglicht, einen unendlichen Vorrat der Ethereum-Kryptowährung in der Aurora zu prägen Motor.
Der kanadische E-Commerce-Riese Shopify, unterdessen, brach im Jahr 2021 seinen eigenen Rekord, als sich die Prämienauszahlungen auf insgesamt 1 Million US-Dollar beliefen. In diesem Jahr erhielt das Unternehmen insgesamt 3.000 Fehlerberichte von White-Hat-Hackern aus der ganzen Welt. Als Reaktion darauf erhöhte Shopify seine maximale Prämie auf 100.000 US-Dollar.
Diese Zahlen mögen absurd hoch erscheinen, aber sie sind es wirklich nicht im Vergleich zu den Geld- und Datenmengen, die Cyberkriminelle sonst durch die Entdeckung von Schwachstellen verdienen könnten. Wormhole setzte erst eine 10-Millionen-Dollar-Bounty-Bounty-Belohnung aus, nachdem es 320 Millionen Dollar aufgrund eines Verstoßes verloren hatte. Aurora Labs belohnte einen White-Hat-Hacker, weil 6 Millionen Dollar im Vergleich zu einem Verlust von 240 Millionen Dollar verblasst im Wert von ETH, während Coinbase und Shopify wahrscheinlich zig Millionen eingespart haben, indem sie fleißig kompensiert haben Forscher.
Die 5 besten hochbezahlten Bug-Bounty-Programme
Da Unternehmen tatsächlich eine Menge Geld sparen, indem sie lohnende Bug-Bounty-Programme einrichten, gibt es eine Reihe von Optionen, aus denen Forscher wählen können. Wenn Sie ein White-Hat-Hacker sind oder einer werden möchten, sind hier fünf hochbezahlte Bug-Bounty-Programme, die Sie in Betracht ziehen sollten.
Apple Security Bounty ist eines der beliebtesten Bug-Bounty-Programme der Welt. Die Belohnungen reichen von 5.000 US-Dollar für die Entdeckung von Schwachstellen im Sperrbildschirm bis zu 2 Millionen US-Dollar für Sicherheitslücken, die es einem Angreifer ermöglichen würden, sie zu umgehen Sperrmodus-Schutz. Alles, was Sie tun müssen, um einen Fehlerbericht einzureichen (der gründlich und detailliert sein muss), ist sich mit Ihrer Apple-ID anzumelden.
Ein weiteres beliebtes Bug-Bounty-Programm wird von Microsoft betrieben, das eine breite Palette von Belohnungen anbietet. Ähnlich wie das von Apple ist das Programm von Microsoft in Dutzende verschiedener Kategorien unterteilt. Wenn Sie beispielsweise eine Schwachstelle im Microsoft. NET-Framework können Sie mit einer Zahlung von bis zu 15.000 US-Dollar rechnen. Aber wenn Sie einen entdecken Microsoft Hyper-V, können Sie eine Prämie von bis zu 250.000 US-Dollar erhalten.
Das Samsung Rewards-Programm konzentriert sich auf die mobilen Produkte des Unternehmens. Es hat relativ strenge Richtlinien, also lesen Sie sie sorgfältig durch, bevor Sie einen Fehler melden. Beachten Sie auch, dass nur Fehler, die die Sicherheit von Samsung-Geräten beeinträchtigen, von den Ingenieuren des Unternehmens berücksichtigt werden. Die Belohnungen liegen zwischen 200 und 200.000 US-Dollar.
Im Prämienprogramm von Google Bug Hunters gehen die Prämien auf bis zu 30.000 US-Dollar. Bug Hunter, wie White-Hat-Hacker oft genannt werden, können Fehler in Gmail, YouTube, BlogSpot und anderen Google-Diensten melden. Dieses Programm hat eine sehr aktive Community und eine eigene Online-Universität, die eine großartige Ressource für unerfahrene Forscher sein kann.
Das Bounty-Programm von Meta umfasst Facebook, Instagram, WhatsApp, Messenger und eine Reihe anderer Produkte. Um für eine Belohnung in Betracht zu kommen (mindestens 500 US-Dollar), müssen Sie Schwachstellen finden, die ein Sicherheits- oder Datenschutzrisiko darstellen, und klar definierte Anforderungen erfüllen. Alle gültigen Meldungen erhalten eine Antwort. Wenn mehrere Jäger dasselbe Problem entdecken, wird die Belohnung an die erste Person vergeben, die einen Bericht einreicht.
Bug-Bounty-Programme: Das Beste aus Crowdsourcing-Sicherheit
Bug-Bounty-Programme stellen die beste Crowdsourcing-Sicherheit dar. Und es sind nicht nur Technologieunternehmen und Cybersicherheitsforscher, die davon profitieren – alle profitieren davon, einschließlich der Verbraucher.
Für einige ist die Fehlersuche ein Hobby und für andere eine vollwertige Karriere. Wenn Sie in die letztere Kategorie fallen oder dies anstreben, gibt es viele Online-Kurse, die einen Blick wert sind.