Ein Bug Bounty-Programm hilft Websites, Diensten und Organisationen, Probleme (Bugs und Schwachstellen) in ihren Angeboten zu finden.
Aber wie geschieht das? Was ist das? Warum haben Organisationen solche Programme?
Im Folgenden werden wir darüber sprechen und Ihnen eine Liste von Bug Bounty-Plattformen vorstellen, die von einigen der größten Technologieunternehmen der Welt eingerichtet wurden.
Was ist ein Bug Bounty Programm?
Ein Bug Bounty-Programm belohnt unabhängige Forscher und ethische Hacker, wenn sie einen Fehler oder eine Sicherheitslücke in einem Dienst/einer Website finden.
Ein Bug Bounty-Programm ist der perfekte Ort für Sicherheitsforscher oder Hacker, um ihre Fähigkeiten unter Beweis zu stellen. Es vermittelt das Gefühl eines öffentlichen Wettbewerbs und eines Wettlaufs um Geld mit Ihren Fähigkeiten.
Je nach Ihren Aktivitäten könnte es zu einem Vollzeitjob für Sie werden. Und für einige kann es ein lohnender Nebenjob sein.
In der Regel bieten diese Plattformen hohe Preisgelder, wenn Sie ein schwerwiegendes Problem in ihrem Service melden.
Es ist auch wichtig zu wissen, dass es zwei verschiedene Bug Bounty-Plattformen gibt. Einige Unternehmen ziehen es vor, ihre eigene Plattform aufzubauen, während andere bestehende Bug Bounty-Plattformen von Drittanbietern nutzen, um Ziele/Aufgaben für die erwähnte Belohnung hinzuzufügen.
Einige haben jedoch eine Reihe von Mindestanforderungen, damit sich ein Bericht qualifiziert. Nicht für jeden gemeldeten Fehler erhalten Sie also eine Belohnung.
Es wäre hilfreich, wenn Sie die Regeln oder Richtlinien eines Bug Bounty-Programms durchgehen würden, bevor Sie sich entscheiden, Zeit in dieses Programm zu investieren.
Warum haben Unternehmen Bug Bounty-Plattformen?
Sie wissen jetzt, dass ein Bug Bounty-Programm es jeder Organisation ermöglicht, unabhängige Sicherheitsforscher (oder Fachleute, die sie nicht direkt beschäftigt) einzubeziehen, um Fehler und Schwachstellen in ihrem Produkt/ihrer Website zu finden.
Aber warum ist ein Bug Bounty-Programm für große Unternehmen notwendig?
Haben sie nicht bereits qualifizierte Mitarbeiter, die den Service ständig verbessern?
Technisch gesehen, ja. Aber das Ziel einer Bug-Bounty-Plattform ist es, dass mehr Sicherheitsforscher ihren Dienst (kostenlos) prüfen oder testen.
Ganz genau.
Die gesamte Gemeinschaft der ethischen Hacker und Forscher testet ihre Dienste und gibt ihnen durch Berichte Feedback.
Sie müssen für ihre Arbeit keine Vorabzahlung leisten.
Das Unternehmen zahlt nur dann eine (oft lukrative) Belohnung, wenn eine Person einen gültigen Fehler- oder Sicherheitsbericht einreicht.
Insgesamt ist ein Bug Bounty-Programm für Unternehmen profitabel, da es ihnen hilft, ihr Produkt zu verbessern, und für ethische Hacker und Forscher ist es gleichermaßen lohnend.
Es ist also ein Win-Win-Szenario.
Die größten Bug Bounty-Programme
Es gibt unzählige Bug Bounty-Programme auf der ganzen Welt. Wir beschränken uns hier auf einige der bekanntesten Programme, die es gibt.
Beachten Sie, dass jedes Programm andere Regeln für die Teilnahmeberechtigung und Belohnungen hat. Einige bieten Belohnungen und Anerkennung für softwarebasierte Probleme, andere für Hardware. Prüfen Sie also unbedingt die Teilnahmekriterien, die Regeln für qualifizierte Meldungen und die Art der Sicherheitslücken, die für den Preis in Frage kommen.
Apple Sicherheits-Bounty
Apple Security Bounty ist eine der größten Plattformen für ethische Hacker. Sie bietet Belohnungen von bis zu $1.000.000 (eine Million Dollar) für verschiedene Sicherheitsprobleme bei iCloud und seinen Smartphones.
Es geht nicht nur um die Belohnung, sondern auch darum, dass Sie mit einem erfolgreichen Bericht bei Apple eine gute öffentliche Anerkennung für Ihre Arbeit erhalten.
Außerdem werden die Kopfgeldzahlungen an einige qualifizierte Wohltätigkeitsorganisationen gespendet, was gut ist.
Meta Bug Bounty
Meta, ehemals Facebook, hat ebenfalls ein Bug Bounty Programm, auch bekannt als Whitehat.
Die Belohnung kann bis zu 45.000 $ betragen. Je nach Schweregrad des Fehlers kann das Preisgeld viel mehr (oder viel weniger) betragen.
Meta veröffentlicht die Namen aller Sicherheitsforscher, um ihnen zu danken. Sie können die Danksagungen an Forscher seit 2011 und davor finden.
Außerdem gibt es ein Treueprogramm, mit dem Sie Ihre Prämien vervielfachen (bis zu 20%) und von Meta gesponserte Reisen/Ausflüge zu Hacker-Events verdienen können.
Bug Hunters von Google
Im Rahmen desBug Hunters Bounty-Programms können Sie Probleme in verschiedenen Domänen/Diensten von Google (YouTube, Blogger usw.) melden
Die Belohnungen können bis zu $30.000 und mehr für besondere Berichte betragen.
Außerdem gibt es eine Lernplattform, auf der Sie sich von bestehenden Beispielen inspirieren lassen können und so ganz nebenbei lernen.
Microsoft Bug Bounty
DasBug Bounty-Programm von Microsoft bietet zahlreiche Möglichkeiten, einen Beitrag zu leisten und für Ihre Arbeit anerkannt zu werden.
Die Belohnungen können je nach Schweregrad und Art der Meldung bis zu $1M oder mehr betragen.
Mozilla Sicherheits-Bug Bounty
Das Sicherheitsprogramm von Mozilla ist eine spannende Plattform für Forscher. Zwar werden die zu erwartenden Preisgelder nicht öffentlich bekannt gegeben, aber Ihr Name wird in eine Ruhmeshalle aufgenommen.
Im Gegensatz zu anderen Anbietern nutzt Twitter eine Bug Bounty-Plattform eines Drittanbieters, an der Forscher teilnehmen können. Die Mindestprämie beginnt bei $280 und kann bis zu $20.000 betragen.
Außerdem gibt es eine Ruhmeshalle auf der HackerOne-Plattform, um den teilnehmenden Forschern zu danken.
Uber
Das Bug-Bounty-Programm von Uber basiert ebenfalls auf HackerOne, wo Sie bis zu $15.000 für kritische Meldungen erhalten und Ihren Namen in die Ruhmeshalle eintragen können.
Tesla
Das Bug-Bounty-Programm von Tesla finden Sie auf Bugcrowd, einer weiteren Bug-Bounty-Plattform eines Drittanbieters.
Die Belohnungen können bis zu $15.000 pro Schwachstelle betragen, je nach den Zulassungskriterien.
Intel-Kopfgeld
Das Bug Bounty-Programm von Intel finden Sie auf der initigriti-Plattform. Es ist eine lohnende Gelegenheit für Forscher, die Software-, Firmware- und Intel-Hardware-Probleme finden.
Die Belohnungen können bis zu 100.000 $ betragen.
Tencent Security Response Center
Das Bug Bounty-Programm von Tencent umfasst verschiedene Assets wie WeChat, QQ, die Website von Tencent, Domains und verschiedene andere Anwendungen, die dem Unternehmen gehören.
Die Belohnungen sind vielleicht nicht die höchsten, sie reichen bis zu $3800 für die wichtigsten Enthüllungen, aber Sie erhalten eine Ruhmestafel.
Samsung Rewards Programm
DasSamsung Rewards Program ist das Bug Bounty-Programm für die mobilen Produkte von Samsung.
Wenn sich Ihre Meldung qualifiziert, kann die Belohnung bis zu $2.00.000 und mehr betragen, je nach Schwere des Problems. Sie können den Fehler zwar über die offizielle Website melden, aber für die Bearbeitung der Zahlungen und die Kontaktaufnahme mit den Forschern wird Bugcrowd eingesetzt.
Cisco Meraki
Das Produkt/Angebot von Cisco, das sich mit Cloud-gesteuertem WiFi, Routing und Sicherheit für Unternehmen befasst, nutzt Bugcrowd für sein Bug Bounty-Programm. Da es sich um ein spezialisiertes Angebot handelt, kann die Arbeit bzw. die Fähigkeiten, die zum Aufdecken von Problemen erforderlich sind, anspruchsvoll oder aufregend sein.
Die Belohnungen können bis zu 10.000 $ für schwerwiegende Probleme betragen.
Netflix Bug Bounty
Das Bug Bounty-Programm von Netflix finden Sie auch auf Bugcrowd, wo sie alle ihre Domains/Dienste auflisten, die für Tests/Berichte in Frage kommen.
Die Belohnungen können bis zu $20.000 pro Sicherheitslücke betragen.
PayPal
Das Bug Bounty-Programm von Paypal nutzt die HackerOne-Plattform. Außerdem muss die Zwei-Faktor-Authentifizierung aktiviert sein, um teilnehmen zu können.
Die Belohnungen können bis zu $20.000 für Berichte über kritische Sicherheitslücken betragen.
Intuit Bug Bounty
Intuit, das Unternehmen, das hinter Produkten wie QuickBooks, TurboTax, Mint usw. steht, bietet die Möglichkeit, einen Bericht über ein Formular auf seiner offiziellen Website und auch auf HackerOne einzureichen.
Bei HackerOne ist das Bug Bounty Programm privat. Sie müssen sich also bei Ihrem Konto anmelden, um sich zu verifizieren und teilzunehmen.
Shop
Als eine der beliebtesten E-Commerce-Plattformen kann das Bug-Bounty-Programm von Shopify auf HackerOne bis zu 50.000 Dollar Belohnung für eine schwerwiegende Sicherheitslücke zahlen.
Alibaba
Das BugBounty-Programm von Alibaba deckt die meisten Websites/Dienste ab, die dem Unternehmen gehören. Sie können den Bericht über die Sicherheitslücke auf der offiziellen Website einreichen und mit Belohnungen von bis zu $2500 rechnen.
Soundcloud
Soundcloud, eine der größten offenen Audioplattformen, bietet ein auf Bugcrowd basierendes BugBounty-Programm mit Belohnungen von bis zu $4500 im Falle von Berichten über schwerwiegende Sicherheitslücken.
Bei Bugcrowd erhalten Sie die übliche Hall of Fame.
Airbnb
Airbnb bietet Belohnungen von bis zu $15.000 über die HackerOne Bug Bounty Plattform. Airbnb veranstaltet außerdem Sonderaktionen, um Hacker zu ermutigen, an neuen kritischen Sicherheitslücken zu arbeiten, und bietet dabei einen Bonus von 50%.
Booking.com
Booking.com gibt auf HackerOne keine besonderen Details bekannt (außer den in Frage kommenden Domains).
Sie können das Sicherheitsteam von Booking.com über das HackerOne-Programm zur Unterstützung bei der Offenlegung kontaktieren.
Xiaomi
Xiaomi nutzt HackerOne für sein Bug Bounty Programm. Das Programm umfasst mehrere Dienstleistungen für Forscher und bietet zusätzlich zu einer Prämie von bis zu $8000 für eine kritische Sicherheitslücke in den Produkten des Unternehmens besondere Belohnungen und Boni.
Square
Square ist eine Kassenanwendung, die für Smartphones erhältlich ist. Für jede Meldung einer schwerwiegenden Sicherheitslücke in seiner App/Website bietet es bis zu $5000 als Belohnung durch sein Bug Bounty Programm auf Bugcrowd.
Nintendo
Mit dem Bug Bounty Programm von Nintendo können Sie Probleme finden, die es Spielern ermöglichen, zu schummeln, die Spiele zu rauben und andere technische Probleme zu finden.
Die Belohnungen können bis zu $12.000 betragen.
Coinbase
Coinbase ist eine führende Plattform für den Austausch von Kryptowährungen. Sie bietet über HackerOne ein Bug-Bounty-Programm mit Belohnungen von bis zu $50.000.
Cloudflare
Cloudflare bietet die meisten wichtigen Dienste an, die Internetunternehmen helfen, ihre Angebote im Web zu schützen und zu verbessern. Sein Bug Bounty Programm auf HackerOne beschreibt verschiedene Probleme, nach denen ein Forscher suchen kann, zusammen mit Links zu allen notwendigen Unterlagen.
Die Belohnungen können bis zu $3000 für schwerwiegende Probleme betragen.
ExpressVPN
Das Bug-Bounty-Programm von ExpressVPN ist wohl das größte unter den anderen VPN-Anbietern.
Neben den üblichen Belohnungen von bis zu $2500 gibt es einen einmaligen Bonus von bis zu $1.00.000, wenn Sie als Erster eine Sicherheitslücke melden, die die Ausführung von Remotecode ermöglicht oder die IP-Adressen von Kunden ausspäht.
Die Jagd nach Fehlern, Belohnungen und Anerkennung
Wenn man bedenkt, dass ein Bug Bounty-Programm ethischen Hackern eine Spielwiese bietet, auf der sie ihre Fähigkeiten testen können, klingt es nach einer guten Idee für jeden unabhängigen Forscher und das Unternehmen, sein Angebot zu verbessern.
Es ist unglaublich wichtig, dass Sie die im Bug Bounty-Programm genannten Regeln/Richtlinien befolgen. Wenn Sie die Kriterien nicht einhalten, verschwenden Sie Zeit, und Ihr Bericht wird nicht für eine Belohnung in Frage kommen.
Vielleicht interessieren Sie sich auch für die Ausbildungsstätten für ethische Hacker.