7 enormes pagos de recompensas por errores

Las primeras compañías tecnológicas en ofrecer recompensas por errores, donde se ofrece el pago a los piratas informáticos que encuentran vulnerabilidades en el código, fueron fabricantes de navegadores web; Netscape inició las cosas en 1995 y Mozilla hizo lo mismo en 2004.

El objetivo es hacer que los piratas informáticos le digan a una empresa en riesgo acerca de un error antes de que el exploit se haga público. Es un beneficio mutuo para los piratas informáticos y las empresas: ¿por qué bloquear a los malos cuando los piratas informáticos más mercenarios pueden ayudar a reforzar la seguridad?

En los últimos años, la búsqueda de errores se ha convertido en un gran negocio con jugadores como Google, Facebook, Yahoo y Microsoft que ofrecen grandes sumas. Desde entonces, muchos otros, como Tesla, Yelp, Reddit, Square, 1Password y Uber, se han unido a la fiesta, pero las recompensas por errores no se limitan a las empresas de tecnología. Las entidades financieras, sanitarias y gubernamentales ofrecen recompensas porque están desesperadas por adelantarse a la próxima violación importante.

Las recompensas de errores se han vuelto tan comunes que existen corredores de terceros como Bugcrowd y HackerOne para conectar a los piratas informáticos con dinero de recompensas. Como se detalla en el Informe Hacker 2018 de HackerOne, la compañía ha pagado más de $ 23 millones a los 166, 000 hackers en su red, que han solucionado más de 72, 000 vulnerabilidades. Eso es mucho trabajo bueno: por mucho menos dinero que un verdadero truco puede costarle a una empresa dinero y reputación.

Según el informe, la cantidad de usuarios registrados en la comunidad HackerOne solo se ha multiplicado por diez.

Naturalmente, también hay algunos aspectos negativos. Exodus Intelligence, por ejemplo, ofrece mayores recompensas que las grandes empresas. Luego vende una suscripción a empresas que incluye esa información de error. Eso no es necesariamente malo: encontrar vulnerabilidades es importante. Pero como señala Lisa Vaas de Sophos, "los clientes de los corredores explotadores podrían estar del lado de los buenos, por ejemplo, los vendedores de antivirus que desean proteger a las personas de los agujeros descubiertos recientemente, o de que podrían estar a la ofensiva, interesados ​​en usar información no revelada explota a los propios sistemas de destino ".

A continuación, eche un vistazo a algunos de los pagos más grandes hasta ahora en el abundante campo de recompensas de errores. Si conoce algunas recompensas más grandes, háganos saber en los comentarios.

Juramento / Verizon Media

En abril de 2018, la organización anteriormente conocida como Oath Inc. desembolsó $ 400, 000 a 40 participantes en el evento de piratería en vivo H1-415 de HackerOne. Oath / Verizon Media, que posee Yahoo y AOL, luego repartió otros $ 400K en un evento separado en noviembre de 2018 a los piratas informáticos que identificaron 159 vulnerabilidades críticas de seguridad.

Después del éxito de estos eventos de recompensas de errores, la compañía creó un programa consolidado de recompensas de errores, que pagó $ 5 millones en 2018 a los piratas informáticos e investigadores que encontraron errores de varios niveles de amenaza en múltiples plataformas. ( Foto de Noam Galai / Getty Images para Verizon Media )



Microsoft

Microsoft alcanzó un hito el año pasado con $ 2 millones en pagos de recompensas por errores, después de lo cual dejó de divulgar información sobre recompensas individuales además de las cantidades y la gravedad del caso. Pero la mayor recompensa otorgada a una sola persona que conocemos es Vasilis Pappas, quien recibió $ 200, 000 en 2012 cuando era estudiante de doctorado en la Universidad de Columbia. Pappas presentó soluciones para un problema de Programación Orientada al Retorno que los hackers usaron para sortear los controles de seguridad, y creó kBouncer, un programa que mitiga todo lo que parece ROP.



Google

El Programa de recompensas de vulnerabilidad de Google se remonta a 2010. Desde entonces, ha pagado más de $ 15 millones, de los cuales $ 3.4 millones se otorgaron en 2018 (y $ 1.7 millones de los cuales se centraron en errores en Android y Chrome). El mayor pago individual del año pasado fue una recompensa de $ 41, 000 a un investigador no especificado. De las recompensas que son públicas, Ezequiel Pereira, de 19 años, de Uruguay recibió $ 36, 000 por descubrir un error de ejecución remota de código en la consola de Google Cloud Platform.



HackerOne Millionaire

Como si la historia de Pereira no fuera suficiente, tenemos que mencionar a otro sudamericano de 19 años que está matando el juego de recompensas de errores: el argentino Santiago López, la primera persona en alcanzar $ 1 millón en ganancias en la plataforma de HackerOne. El pirata informático autodidacta dice que comenzó viendo videos de YouTube y leyendo blogs por su cuenta, pero ¿lo que despertó su interés en piratear? ¿Qué más? La película de 1995 Hackers . ( Foto de United Artists / Getty Images )



Facebook

Para una compañía que ha experimentado algunas fallas de seguridad a lo largo de los años, no es del todo sorprendente que Facebook esté ansioso por localizar y abordar las lagunas y vulnerabilidades en su código. El programa de recompensas de errores de la red social ha pagado $ 7, 5 millones desde su inicio en 2011. El récord anterior de pago único más alto de Facebook fue para Andrew Leonov, un investigador de seguridad ruso que recibió $ 40, 000 por descubrir una falla de seguridad en un software de seguridad de terceros que podría afectar a Facebook en sí. El nuevo pago récord ocurrió el año pasado: $ 50, 000 para una persona.



Departamento de defensa de los Estados Unidos

Durante un mes en 2016, el Departamento de Defensa bajo la administración de Obama literalmente dijo: "¡Hackea el Pentágono!" Doscientos cincuenta piratas informáticos persiguieron errores en los sistemas de la agencia y encontraron 138 vulnerabilidades que valía la pena cerrar. El pago total a los piratas informáticos fue de $ 150, 000, que el entonces Secretario de Defensa Ashton Carter dijo que fue aproximadamente $ 850, 000 menos de lo que hubiera costado obtener una auditoría de seguridad profesional.

En 2018, el Departamento de Defensa amplió el hackathon a una serie de nuevos programas alojados por HackerOne, que apuntaban a los sistemas gubernamentales propiedad del Ejército, la Fuerza Aérea, los Marines y el Sistema de Viajes de Defensa. Otorgaron $ 500, 000 combinados a los piratas informáticos que descubrieron alrededor de 5, 000 vulnerabilidades únicas en las bases de datos y sitios web del gobierno.



United Airlines: 1 millón de millas

United Airlines no entrega efectivo, pero le dará millas gratis. Muchos de ellos. El año pasado, varios investigadores recibieron millas de viajero, incluido Olivier Beg, un investigador de seguridad de los Países Bajos de 19 años que recibió 1 millón de millas por encontrar alrededor de 20 errores diferentes en los sistemas de la aerolínea. ( Foto de Nicolas Economou / NurPhoto vía Getty Images )