0
Peshkova, Getty Images/iStockphoto
Hacker werden dafür bezahlt so viel wie $30,000 für das finden einer einzelnen kritischen Fehler in Unternehmens-Systeme und der Betrag, den Unternehmen bereit sind zu zahlen, steigt.
Während die Verwendung solcher Fehler-Jagd-Programme noch begrenzt, einige große Organisationen bieten Hackern Belohnungen für das Auffinden von Schwachstellen in Ihren Systemen.
Nach Angaben von HackerOne, ein Unternehmen, das festlegt, bug-bounty-Programme für Unternehmen, die den größten Ausgaben der Unternehmen zahlen jetzt fast 900.000 US-Dollar ein Jahr, um Leute, die bugs.
Die Daten stammen aus bug-bounty und Offenlegung der Sicherheitsanfälligkeit von Programmen, die von HackerOne für Unternehmen wie Airbnb, GitHub und dem Department of Defense – in der gesamten Buchhaltung für 50.000 Sicherheitslücken entdeckt und mehr als $17m in bounties vergeben, seit es ins Leben gerufen.
Spotting eine kritische Sicherheitslücke verdienen $1,923 durchschnittlich, aber die Firma sagte, dass in den letzten 12 Monaten 88 einzelnen bug bounties Belohnungen waren mehr als $10.000, mit den top-Prämien in Ihren Programmen erreichen die $30.000. Unternehmen wie Apple und auch Microsoft haben Ihre eigene bug bounty Programme, die das können, gehen so hoch wie $100.000 haben.
Über zwei Drittel der Unternehmen zahlen rund $1.000 im Durchschnitt für kritische Sicherheitslücken, obwohl ein paar Ausreißer zahlen $15.000 oder mehr. Das ist möglicherweise, weil bug-bounty-Programme zahlen niedrigere Prämien, wenn Sie starten-schlicht, weil das Durchschnittliche Unternehmen haben so viele Löcher in der Sicherheit zu füllen.
Aber als eine Organisation, die behebt weitere Sicherheitslücken, Fehler schwieriger zu erkennen, und so Gaben Anlass zu ermutigen, Hackern Ausschau zu halten: zum Beispiel, Google hat stetig zugenommen seine top-Kopfgeld für Chrome von $3.000 bis $100.000 über den Verlauf von mehr als fünf Jahren.
Eine Umfrage von HackerOne vergangenen Jahr festgestellt, dass siebzehn Prozent der 600 Hacker es Sprach sagten, Sie verließen sich ausschließlich auf bug-bounty-Programme für Ihre Einkommen, während weitere 26 Prozent Gaben an, dass zwischen 76 Prozent und 100 Prozent Ihrer Einnahmen kommen aus dem bug-bounty-Programme. Neun von zehn waren unter 34.
Reise-und Gastfreundschaft sind die schnellsten Zahler, übergab das Geld 18 Tage, nachdem der Bericht vorgelegt wird, auf Durchschnitt, gefolgt von Essen und trinken (19 Tage). Wenig überraschend Behörden, auf 61 Tage, die langsamste zu zahlen. Auch Unternehmen zahlen in verschiedenen Phasen: rund ein Fünftel bezahlen, wenn die Sicherheitslücke ist bestätigt, während die Hälfte zu zahlen, wenn eine Sicherheitsanfälligkeit behoben wird, und die andere auf einer Fall-zu-Fall-basis.
Fast zwei Drittel der bug bounties Programme werden vom tech-Unternehmen, aber es besteht ein wachsendes Interesse von Behörden, Medien und Unterhaltung, Finanzdienstleistungen und banking und retail. Aber nur etwa sechs Prozent der top-börsennotierte Unternehmen haben die öffentliche Offenlegung der Sicherheitsanfälligkeit Politik.
HackerOne gesagt, dass cross-site-scripting – XSS – war die häufigste Schwachstelle Art entdeckt, die von Hackern mit seiner Plattform. Für Finanzdienstleister und Banken, die häufigste Schwachstelle war unsachgemäße Authentifizierung.
Programme, die mit Hilfe der Fähigkeiten, die außerhalb Hacker Unternehmen dabei helfen, fix Ihre Sicherheit kann in mehreren Formen erfolgen, von den Grundlagen, dass eine Offenlegung der Sicherheitsanfälligkeit Politik, die sich Häufig in form einer “security@” E-Mail-Adresse, durch die bug bounty-Programme, die jeder hacker kann einem gehen. Es gibt auch eigenes bug-bounty-Programme, die nur geöffnet, um ein paar wichtige Hacker-und Zeit-gebunden bug-bounties, die offen sind für nur eine kurze Zeit eingeladen Hacker nur.
Mehr auf bug-bounties
Ein Blick auf die top-HackerOne bug bounties 2016
Bargeld ist nicht alles, wenn bug-bounties konkurrieren mit den schwarzen Markt
0