Один из видов заработка для программистов – поиск уязвимостей в продуктах IT-компаний с помощью программ bug-bounty. Такой вид деятельности называют белым хакингом, а специалистов – этичными хакерами или баг-хантерами. Они ищут недостатки в программном обеспечении и сервисах и сообщают о них руководству компании, тем самым помогая исправить ошибку.
*В данной статье есть упоминание соцсетей Instagram и Facebook запрещены в РФ; они принадлежат корпорации Meta, которая признана в РФ экстремистской.
Это золотая жила для тестировщиков, которые по сравнению с разработчиками имеют меньшую оплату и могут таким образом уравновесить свои финансовые возможности. Но в общем ловить крупную рыбу могут все, кто разбирается в коде — и любители, и профессиональные программисты.
Не забываем подписываться на наши телеграм каналы:
CPAGRAM — Арбитраж трафика и маркетинг
CPAGRAM Арбитражные кейсы
CPA и арбитраж трафика
Шарим трафик и CPA
CPA MOZG
Тизеры и креативы
Что такое bug-bounty
Bug-bounty – это политика поощрения компаниями белых хакеров. За уведомление об уязвимости можно получить от небольшого гонорара в $100-150 до нескольких сотен тысяч долларов. Все зависит от того, насколько серьезна ошибка, и к каким убыткам она могла бы привести в случае, если бы ею воспользовались злоумышленники.
Что означает термин баг-баунти? Bug – это жаргонное название ошибок в коде, слово дословно переводится как «жук». Bounty означает «вознаграждение», «подарок».
Иногда может случаться, что компания «примет к сведению» предоставленную информацию, поблагодарит хакера и на том сотрудничество завершится. Поэтому перед началом работы нужно обязательно ознакомиться с правилами программ баг-баунти, читать, какие уязвимости оплачиваются, а какие не считаются важными.
Также все зависит от качества выполнения отчета — если баг-хантер подробно расписывает проблему и предлагает методы ее решения, он получит большее вознаграждение, чем предоставивший поверхностный отчет.
Но даже проделав хорошую работу, специалист не может быть уверен в том, что получит деньги. Если сразу несколько баг-хантеров сообщают об одной ошибке, то приз получает тот, кто был первым.
Bug-bounty программы от компаний
Программы вознаграждений можно разделить на постоянные и временные:
- Постоянные программы действуют постоянно и направлены на поиск наиболее важных и распространенных ошибок в коде продуктов, широко используемых потребителем. Зайдя на сайт IT-компании, вы сможете найти правила подачи отчетов и ориентировочные суммы выплат. Иногда бывает, что такой прайс компания не предоставляет, принимая отдельные решения по каждому баг-репорту. Введя в поиск запрос «название компании + bug bounty» вы скорее всего найдете такую программу.
- Временные программы — это нечто вроде открытого тестирования, в котором могут принять участие кто угодно. Компания объявляет сроки, в течение которых принимает отчеты о найденных уязвимостях и определяет, кому достанутся денежные вознаграждения. Чаще всего таким образом тестируют новые продукты.
Здесь мы расскажем о постоянных программах от компаний, которыми можно воспользоваться в любое время.
Facebook, Instagram и другие продукты компании Meta
Компания Meta вознаграждает белых хакеров за поиск уязвимостей в своих продуктах, таких как Facebook, Messenger, Instagram, WhatsApp, Workplace и других приложениях, а также в приложениях с открытым кодом. В правилах вы сможете прочесть, каким образом можно осуществлять тестирование ошибок.
Тестирование можно проводить только с собственного аккаунта, либо тестового, либо чужого, но только при наличии письменного согласия.
Делиться с кем-то информацией об обнаруженной ошибке можно только после того, как компания проведет расследование и сделает вывод об уязвимости.
При поиске ошибок не разрешается взаимодействовать с аккаунтами других людей и получать доступ к их личной информации без письменного согласия.
Это только некоторые пункты, которые мы решили вынести в статью, на самом же деле их больше. У каждой компании есть подобный перечень, потому еще раз подчеркиваем — перед началом работы внимательно читайте правила.
Amazon Один из самых больших маркетплейсов мира
Amazon выложил для баг-хантеров перечень вознаграждений за найденные ошибки. Компания отмечает, что в списке указаны самые высокие вознаграждения, а более точно сумма будет определяться при анализе баг-репорта.
Вот таким образом платформа оценивает найденные ошибки по рискам:
Критические — $10 000-$20 000
Высокие — $1500-$5000
Средние — $350-500
Низкий уровень угрозы — $150.
Запрещено нацеливать тестовые атаки на сотрудников и клиентов Amazon и требовать, чтобы вам заплатили за найденный баг, угрозой его использования против компании.
Bug-bounty платформы
Это отдельный вид бизнеса, позволяющий пользоваться услугами белых хакеров молодым или локальным компаниям с небольшими бюджетами, а также сервисам, которые сами не занимаются программной разработкой. Но вопрос не только в том, что у всех компаний достаточно ресурсов или персонала, чтобы объявлять собственную программу поиска багов. Большинство проектов не столь известны, чтобы баг-хантеры целенаправленно искали с ними сотрудничество. Потому и существуют такие «биржи», на которых IT-компании выкладывают предложения, а соискатели пробуют силы в охоте на уязвимости.
HackerOne
Это одна из старейших компаний, которая стала использовать в целях кибербезопасности опыт сообщества белых хакеров и предлагать их услуги IT-структурам по всему миру. HackerOne существует с 2012 года и имеет главный офис в Сан-Франциско, офисы в Лондоне и Нидерландах.
Компания была создана с целью сделать Интернет более безопасным и уже 10 лет провозглашает эту идею как свою главную миссию.
Bugcrowd
Мощная краудсорсинговая платформа, основанная в 2011 году в Австралии. Bugcrowd специализируется на широком спектре уязвимостей и сотрудничает с крупными мировыми бизнес-игроками. Среди них такие компании, как Mastercard, Tesla, Fitbit, Atlassian, Square, Samsung; платформа выполняет заказы министерства обороны США и ВВС. Работает почти в 30 странах.
HackenProof
Украинская платформа баг-баунти, входит в группу компаний Hacken, специализирующихся на кибербезопасности. HackenProof является одним из инициаторов поиска уязвимостей в украинских государственных сервисах с целью улучшения их безопасности, а после начала полномасштабного вторжения объявила кибервойну России.
0 Comments