Начнем с определения:
Баг-баунти (bug bounty) – это открытый конкурс по поиску уязвимостей в продукте и одна из разновидностей тестирования софта.
Если раньше поиском ошибок занимались внутренние разработчики, то баг-баунти позволяет привлечь сильных специалистов извне. Естественно, при отсутствии уязвимостей, компания ничего не теряет. А при их обнаружении – платит за реально проделанную работу и экономит куда большие суммы, которые потеряла бы при запуске программы с ошибками.
Как это происходит?
Процесс выглядит примерно так:
- Компания анонсирует конкурс на поиск проблемы в продукте.
- Призом может быть денежное вознаграждение или прием на вакантную должность.
- Конкурс стартует в определенное время.
- IT-специалисты ищут уязвимости и пытаются взломать продукт.
- О найденных проблемах сообщают владельцу.
- Тот кто, находит действительно серьезные проблемы, получает приз.
- Естественно, ошибки исправляют.
Баг-баунти практикуют все крупные компании, но называют этот процесс по-разному.
- Например, в Яндексе – это «Охота за ошибками». В прошлом году за значимые уязвимости платили 1,5 млн рублей.
- Google за найденные уязвимости платит до $30 000, а Apple и Microsoft вовсе до $1 млн.
- По программе Uber можно получить до $15 000.
- Даже у Пентагона есть своя программа Bug Bounty.
Отличный заработок для профессиональных тестировщиков, правда?
Попробовать свои силы может каждый. Но браться все-таки стоит при наличии опыта. Хотя без исключений – никуда. Иногда проблемы едва ли не вселенского масштаба находили буквально методом тыка.
Как обычный школьник заработал 10 000 долларов?
Например, уругвайский школьник Иезекииль Перейра нашел такой баг абсолютно случайно. Парень мечтал построить карьеру в области информационной безопасности и время от времени возился с сервисами Google, используя Burp Suite для подмены заголовка хоста в запросе к серверу App Engine.
Основная часть попыток вернула «404», но на одном из внутренних сайтов внезапно нашлось отсутствие верификации по логину/паролю и какой-либо защиты.
За найденный баг школьник получил $10 000.
Ценность баг-баунти для компаний
Для компаний баг-баунти – отличная возможность не только протестировать свой продукт, но и продемонстрировать пользователям и клиентам, что он действительно надежный. Порой баг-баунти становится неким хвастовством, позволяющим показать: смотрите, нам все нипочем.
Но, конечно, у баг-баунти есть и практичная сторона – до публичного запуска можно максимально проверить продукт и исправить ошибки.
Кроме того, известны неприятные инциденты. Когда найденные уязвимости не были восприняты серьезно и вовремя устранены. В итоге, злоумышленники использовали их для взлома программ.
Например, в 2015 году компания Ashley Madison, занимающаяся онлайн-знакомствами, стала жертвой кибератаки в ходе которой были украдены данные 37 млн пользователей. В ходе анализа выяснили, что разработчики уделили недостаточно внимания уязвимости, найденной исследователями баг-баунти. Ее просто проигнорировали.
Тем не менее, такие случаи редкость. Сегодня баг-баунти – важный инструмент, который позволяет повысить безопасность в Сети.