Ano ang Bug Bounty at Paano Mo Maaangkin ang Isa?

Ang mga bug bounty ay nagbibigay-daan sa mga taong nakatuklas ng mga kakulangan sa seguridad sa software at mga serbisyo ng computer na magantimpalaan ng pera. Kaya ano ang kinakailangan upang maging isang mangangaso ng bug bounty, at kaya mo bang pagkakitaan ang paggawa nito?

Ano ang Mga Bug Bounty Program?

Ang software at mga serbisyong ginagamit namin araw-araw ay isinulat ng mga tao na kadalasang nasa ilalim ng presyon upang patakbuhin ang kanilang code upang kumita ng pera ang negosyo. Bagama't ang mga makabagong paraan ng pagbuo ng software ay nagreresulta sa software na may kaunting seryosong problema, walang paraan para sa isang maliit na grupo ng mga developer na mahulaan ang bawat posibilidad o makita ang bawat solong pagkakamali.

Ihambing ito sa hukbo ng mga hacker na naghahanap ng bawat posibleng chink sa armor ng code na iyon, at malinaw kung bakit kailangan ang mga bug bounty program. Nag-aalok ang mga program na ito ng reward sa mga taong nakatuklas ng mapagkakatiwalaang kahinaan o isa pang kwalipikadong uri ng problema sa mga app at serbisyong ibinigay.

Sino ang Makaka-claim ng Bug Bounties?

Sa prinsipyo, hindi mahalaga kung sino ang nakatuklas ng kahinaan o pagsasamantala. Ang mahalaga ay alam ng kumpanya ang tungkol dito at inaayos ang problema bago ito humantong sa tunay na pinsala. Sa pagsasagawa, ang mga bug bounty ay kadalasang inaangkin ng mga propesyonal na mananaliksik sa seguridad. Ang mga ito ay mga espesyalista na sadyang sumusubok na maghanap ng mga kahinaan sa mga system at maaaring makakuha ng mga bayad na bounties o paunang magsagawa ng “penetration testing” para sa isang kumpanya.

Hindi iyon nangangahulugan na hindi ka makakapag-ulat ng isa kung makita mo ito, ngunit kailangan mong hanapin ang mga kinakailangan para sa pagsusumite at tingnan kung mayroon kang teknikal na impormasyong kailangan upang iulat ang isyu.

Ang Mga Bug Bounty Program ay Hindi Pareho

Ang proseso para mag-claim ng bug bounty at kung ano ang kwalipikado sa iyo para makuha ang bayad ay iba-iba sa bawat programa. Ang kumpanyang pinag-uusapan ay nagtatakda ng mga patakaran para sa kung ano ang itinuturing nitong problema na dapat bayaran upang malaman. Itatakda din nito ang wastong format para iulat ang problemang iyon, kasama ang lahat ng bagay na kailangan nitong malaman upang matiklop at ma-verify ang isyu.

Mag-iiba din ang halaga ng pera na nagkakahalaga ng isang na-verify na ulat. Ang ilang mga kumpanya ay napakalaki, na may malalaking badyet para sa seguridad. Ang iba ay maliliit na negosyo o startup na umaasa sa mga bug bounty program para makabawi sa kanilang medyo maliit na permanenteng cybersecurity staff na pandagdag. Sa kasong iyon, ang mga bounty ay maaaring maging mas katamtaman.

Saan Makakahanap ng Mga Bug Bounty Program

Ang unang lugar para tingnan kung nakakaranas ka ng maiuulat na kahinaan ay ang website ng kumpanya na gumagawa ng produkto o nag-aalok ng serbisyong pinag-uusapan. Sa pangkalahatan, napakalaking kumpanya lamang ang nagpapatakbo at nangangasiwa ng kanilang sariling mga bug bounty program.

Ang mas maliliit na damit ay mas malamang na gumamit ng mga espesyal na serbisyo ng bounty ng bug. Halimbawa, ang listahan ng bug bounty program ng HackerOne ay nagpo-promote ng mga programa mula sa iba't ibang kumpanya na pinamamahalaan sa pamamagitan ng site.

Magkano ang Binabayaran ng Bug Bounties?

Kung binisita mo ang HackerOne bug bounty list na naka-link sa itaas, maaaring napansin mo na ang bawat program ay naglilista ng pinakamababang halaga ng bounty. Kung bubuksan mo ang isa sa mga programa, makikita mo ang mga istatistika sa average na bounty payout pati na rin ang mga tier ng reward, depende sa kalubhaan ng kahinaan.

Ang mga problemang mababa, katamtaman, at mataas ang kalubhaan ay maaaring kumita ng ilang daan hanggang isang libong dolyar, habang ang mga kritikal na kahinaan ay maaaring magbayad ng ilang libong dolyar.

Mayroong ilang tunay na nakakagulat na mga pabuya na binayaran sa mga nakaraang taon at napakalaking alok, ngunit ang mga ito ay parang nanalo sa lottery. Kailangang ikaw ang mangyayari sa isang one-in-a-million na pagsasamantala at dapat itong nasa sistema ng isang malaking manlalaro na may ganoong uri ng pera. Kung gusto mong kumita mula sa mga bug bountie, mas malamang na makakuha ka ng matatag na kita mula sa maliliit na karaniwang bug na nanggagaling sa pamamagitan ng sistematikong pagsubok sa pagtagos.