0
Peshkova, Getty Images/iStockphoto
Hackare får betalt för så mycket som $30,000 för att hitta en enda kritisk fel i ett företags system, och det belopp som företag är villiga att betala ökar.
Även användningen av sådana fel jakt programmen är fortfarande begränsad, men några stora organisationer som erbjuder hackare belöningar för att upptäcka brister i sina system.
Enligt uppgifter från HackerOne, ett företag som sätter upp bug bounty program för företag, den största utgifterna företag nu betalar ut nästan $900,000 ett år till personer som rapporterar buggar.
Data kommer från bug bounty och sårbarhet avslöjande program som drivs av HackerOne för företag som Airbnb, GitHub och Department of Defense – totalt redovisning för 50 000 säkerhetsproblem fläckig och mer än $17m i skottpengar ut sedan det lanserades.
Spotting en kritisk sårbarhet kommer att tjäna $1,923 i genomsnitt, men företaget säger att under de senaste 12 månader, 88 enskilda bugg belöningar belöningar var över $10.000 vardera, med de främsta belöningar i sitt program att nå $30,000. Företag som Apple och Microsoft har också egna bug bounty program, som kan gå så högt som $100 000.
Ungefär två tredjedelar av företagen betala runt $1,000 i genomsnitt för kritiska sårbarheter, även om ett fåtal extremvärden kommer att betala $15,000 eller mer. Det är möjligen på grund bug bounty program betalar lägre gåvor när de lanserar-helt enkelt eftersom det genomsnittliga företaget kommer att ha så många hål i sin säkerhet att fylla.
Men som en organisation som fixar fler sårbarheter, brister blivit svårare att upptäcka och så skottpengar upphov till att uppmuntra hackers att fortsätta leta: till exempel Google har stadigt ökat sin topp bounty för Chrome från $3,000 till $100,000 under mer än fem år.
En undersökning av HackerOne förra året visade att sjutton procent av de 600 hackare det talade med sa att de förlitade sig enbart på bug bounty program för sin inkomst, medan ytterligare 26 procent sade att mellan 76 och 100 procent av deras inkomster kommer från bug bounty program. Nio av tio var under 34.
Rese-och besöksnäringen är den snabbast betalare, att lämna över de pengar 18 dagar efter att rapporten har lämnats in, i genomsnitt, följt av mat och dryck (19 dagar). Föga förvånande myndigheter, 61 dagar, är den långsammaste att betala. Företag betalar också upp i olika faser: ungefär en av fem betalar när sårbarheten är validerade, medan hälften kommer att betala när en sårbarhet är fast och den andra på en fall-till-fall.
Nästan två tredjedelar av bugg skottpengar programmen drivs av tech-företag, men det finns ett växande intresse från myndigheter, media och underhållning, finansiella tjänster samt bank och detaljhandel. Men bara omkring sex procent av de börsnoterade företagen har allmän sårbarhet utlämnande politik.
HackerOne sade att cross-site scripting – XSS – var den vanligaste sårbarhet typ som upptäcktes av hackare med hjälp av sin plattform. För finansiella tjänster och banker, den vanligaste säkerhetsproblemet var felaktig autentisering.
Program med hjälp av den kompetens av hackare för att hjälpa företag att fixa deras säkerhet kan ta sig många olika former, från grunderna för att ha en sårbarhet informationspolicy, som ofta tar formen av en “security@” e-postadress, genom att bug bounty program som någon hacker kan ha en gå på. Det finns också privata bug bounty program, som är öppen endast för några av de viktigaste hackare, och tidsbundna bugg gåvor, som är öppen för bara en kort tid för inbjudna hackare.
Mer på bugg skottpengar
En titt på toppen HackerOne bugg gåvor av 2016
Pengar är inte allt när felet skottpengar konkurrera med den svarta marknaden
0