Программа вознаграждения за ошибки — это сделка, предлагаемая многими веб-сайтами, организациями и разработчиками программного обеспечения, в рамках которой люди могут получить признание и компенсацию [1] [2] за сообщение об ошибках , особенно тех, которые относятся к эксплойтам и уязвимостям безопасности . [3]
Эти программы позволяют разработчикам обнаруживать и устранять ошибки до того, как о них узнает широкая общественность, предотвращая случаи широкомасштабного злоупотребления и утечки данных. Программы Bug Bounty реализованы большим количеством организаций, включая Mozilla , [4] [5] Facebook , [6] Yahoo! , [7] Google , [8] Reddit , [9] Square , [10] Microsoft , [11] [12] и вознаграждение за ошибки в Интернете. [13]
Компании, не относящиеся к технологической отрасли, в том числе традиционно консервативные организации, такие как Министерство обороны США , начали использовать программы вознаграждения за обнаружение ошибок. [14] Использование Пентагоном программ вознаграждения за обнаружение ошибок является частью изменения позиции, в результате которого несколько правительственных агентств США изменили курс: от угроз хакерам в белых шляпах обращением в суд к приглашению их к участию в рамках комплексной структуры или политики раскрытия уязвимостей. [15]
Хантер и Риди инициировали первую известную программу вознаграждения за обнаружение ошибок в 1981 году для своей операционной системы Versatile Real-Time Executive . Любой, кто обнаружит ошибку и сообщит об ошибке, получит взамен Volkswagen Beetle ( также известный как Bug). [16]
10 октября 1995 года корпорация Netscape Communications запустила программу «Bugs Bounty» для бета- версии своего браузера Netscape Navigator 2.0. [17] [18] [19]
В августе 2013 года палестинский студент-компьютерщик сообщил об уязвимости, которая позволяла любому публиковать видео в произвольной учетной записи Facebook. Согласно переписке по электронной почте между студентом и Facebook, он пытался сообщить об уязвимости, используя программу Facebook по вознаграждению за ошибки, но инженеры Facebook неправильно поняли студента. Позже он воспользовался уязвимостью, используя профиль Марка Цукерберга в Facebook , в результате чего Facebook отказался выплатить ему вознаграждение. [20]
Facebook начал платить исследователям, которые находят и сообщают об ошибках безопасности, выпуская им дебетовые карты «White Hat», на которые можно пополнять средства каждый раз, когда исследователи обнаруживают новые недостатки. «Исследователи, которые находят ошибки и улучшения безопасности, редки, и мы ценим их и должны найти способы вознаградить их», — сказал в интервью CNET Райан МакГихан, бывший менеджер группы реагирования на безопасность Facebook . «Наличие этой эксклюзивной черной карты — еще один способ узнать их. Они могут появиться на конференции, показать эту карту и сказать: «Я выполнил специальную работу для Facebook»» [21] . В 2014 году Facebook прекратил выдавать исследователям дебетовые карты. [ нужна цитата ]
В 2016 году в Uber произошел инцидент безопасности, когда человек получил доступ к личной информации 57 миллионов пользователей Uber по всему миру. Предположительно, этот человек потребовал выкуп в размере 100 000 долларов США за то, чтобы уничтожить, а не опубликовать данные. В своих показаниях перед Конгрессом директор по информационной безопасности Uber указал, что компания подтвердила, что данные были уничтожены, прежде чем выплатить 100 000 долларов. [22] Г-н Флинн выразил сожаление по поводу того, что Uber не раскрыл инцидент в 2016 году. В рамках реагирования на этот инцидент Uber работал с партнером HackerOne над обновлением политики программы вознаграждения за ошибки, чтобы, среди прочего, более подробно объяснить добросовестность. исследование и раскрытие уязвимостей. [23]
Yahoo! подвергся резкой критике за рассылку Yahoo! Футболки в качестве награды исследователям безопасности за обнаружение и сообщение об уязвимостях безопасности в Yahoo!, что привело к возникновению так называемого T-shirt-gate . [24] High-Tech Bridge , базирующаяся в Женеве, Швейцария, компания по тестированию безопасности, выпустила пресс-релиз, в котором говорится, что Yahoo! предлагал кредит в размере 12,50 долларов США за каждую уязвимость, который можно было использовать для оплаты товаров под брендом Yahoo, таких как футболки, чашки и ручки, из своего магазина. Рамсес Мартинес, директор службы безопасности Yahoo, позже заявил в своем блоге [25] , что он стоял за программой вознаграждения ваучерами и что, по сути, он платил за них из собственного кармана. В конце концов, Yahoo! 31 октября того же года запустила новую программу вознаграждений за обнаружение ошибок, которая позволяет исследователям безопасности сообщать об ошибках и получать вознаграждение от 250 до 15 000 долларов США, в зависимости от серьезности обнаруженной ошибки. [26]
Аналогичным образом, когда в 2013 году компания Ecava выпустила первую известную программу вознаграждения за обнаружение ошибок для ICS , [27] [28] ее раскритиковали за то, что она предлагала магазинные кредиты вместо наличных, что не стимулировало исследователей в области безопасности. [29] Экава пояснил, что программа изначально задумывалась как ограничительная и ориентированная на безопасность пользователей IntegraX или SCADA , их программного обеспечения АСУ ТП. [27] [28]
Некоторые программы вознаграждений за обнаружение ошибок подвергались критике как инструменты, препятствующие исследователям безопасности публично раскрывать уязвимости, обуславливая участие в программах вознаграждения за обнаружение ошибок или даже предоставление « безопасной гавани » неправомерными соглашениями о неразглашении . [30] [31]
Хотя заявки на вознаграждение за обнаружение ошибок поступают из многих стран, некоторые страны, как правило, отправляют больше ошибок и получают больше вознаграждений. США и Индия являются ведущими странами, из которых исследователи отправляют сообщения об ошибках . [32] Индия, которая занимает либо первое, либо второе место в мире по количеству охотников за ошибками, в зависимости от того, какой отчет цитируется, [33] возглавила программу Facebook Bug Bounty с наибольшим количеством действительных ошибок. [34] В 2017 году наибольшее количество действительных заявок в программу Facebook Whitehat было отправлено в Индии, за ней следовали США и Тринидад и Тобаго . [34]
В октябре 2013 года Google объявил о серьезных изменениях в своей программе вознаграждений за уязвимости. Раньше это была программа вознаграждения за обнаружение ошибок, охватывающая многие продукты Google. Однако с этим сдвигом программа была расширена и теперь включает набор бесплатных программных приложений и библиотек с высоким уровнем риска , в первую очередь предназначенных для работы в сети или для низкоуровневых функций операционной системы . Заявки, которые Google сочтет соответствующими правилам, будут иметь право на вознаграждение в размере от 500 до 3133,70 долларов США. [35] [36] В 2017 году Google расширила свою программу, включив в нее покрытие уязвимостей, обнаруженных в приложениях, разработанных третьими сторонами и доступных через Google Play Store. [37] Программа вознаграждений за уязвимости Google теперь включает уязвимости, обнаруженные в продуктах Google, Google Cloud, Android и Chrome, и предусматривает вознаграждение до 31 337 долларов США. [38]
В ноябре 2013 года Microsoft и Facebook объединились, чтобы спонсировать The Internet Bug Bounty — программу, предусматривающую вознаграждение за сообщения о взломах и эксплойтах для широкого спектра интернет-программ. [39] В 2017 году GitHub и The Ford Foundation спонсировали инициативу, которой управляют волонтеры, в том числе из Uber, Microsoft, [40] Adobe, HackerOne, GitHub, NCC Group и Signal Sciences. [41] Программное обеспечение, охватываемое IBB, включает Adobe Flash , Python , Ruby , PHP , Django , Ruby on Rails , Perl , OpenSSL , Nginx , Apache HTTP Server и Phabricator . Кроме того, программа предлагала вознаграждение за более широкие эксплойты, затрагивающие широко используемые операционные системы и веб-браузеры , а также Интернет в целом. [42]
В марте 2016 года Питер Кук объявил о первой программе федерального правительства США по борьбе с ошибками — программе «Взломай Пентагон». [43] Программа проходила с 18 апреля по 12 мая, и более 1400 человек предоставили через HackerOne 138 уникальных достоверных отчетов . Всего Министерство обороны США выплатило 71 200 долларов. [44]
В 2019 году Европейская комиссия объявила об инициативе EU-FOSSA 2 по вознаграждению за ошибки для популярных проектов с открытым исходным кодом , включая Drupal , Apache Tomcat , VLC , 7-zip и KeePass . Проект осуществлялся при совместной поддержке европейской платформы по поиску ошибок Intigriti и HackerOne, и в результате в общей сложности было обнаружено 195 уникальных и действительных уязвимостей. [45]
Open Bug Bounty — это программа коллективного вознаграждения за обнаружение ошибок, созданная в 2014 году. Она позволяет отдельным лицам публиковать сообщения об уязвимостях безопасности веб-сайтов и веб-приложений в надежде на вознаграждение от пострадавших операторов веб-сайтов. [46]