Hakerët fitojnë miliona dollar amerikan nga programet “bug bounty”
Programi “Bug Bounty”, që gjithashtu njihet si Programi i Shpërblimeve për Raportimin e dobësive, është një iniciativë “crowdsourcing”[i] e cila shpërblen individ apo grupe të cilët zbulojnë dhe raportojnë dobësi apo gabime në softuerë të ndryshëm. Programet “Bug Bounty” zakonisht iniciohen nga prodhuesit e softuerit por edhe nga kompanitë që i përdorin ata softuerë, për të audituar dhe përmirësuar kodet e brendshme të një aplikacioni, qoftë në ueb apo lokal, dhe për të bërë testime të depërtimit (penetration test) si pjesë e strategjisë së një organizate për menaxhimin e cenueshmërisë së aplikacionit në fjalë.
Shumë nga kompanitë prodhuese të softuerit dhe shumë platforma në ueb iniciojnë programe të tilla shpërblimi, ku i shpërblejnë hulumtuesit e sigurisë së softuerëve dhe hakerët me plisa (white hat hacker) të cilët hulumtojnë për pikat e dobëta të atyre platformave dhe i raportojnë ato tek prodhuesi i tyre ashtu që të mbyllen/rregullohen ato dobësi para se ato të zbulohen nga keqbërësit.
Sipas një raporti të HackerOne, deri tani gjashtë haker kanë kaluar shifrën e një milion dollar amerikan fitim përmes këtyre programeve.
Në Mars të këtij viti, HackerOne bën të ditur që një 19 vjeçar nga Argjentina – Santiago Lopez (try_to_hack) ishte i pari që kishte arritur të bëhet milioner përmes programit “Bug Bounty”. Tani atij i janë shtuar edhe pesë të tjerë: Thomas DeVoss (dawgyg) nga SHBA, Mark Litchfield (mlitchfield) nga Mbretëria e Bashkuar, Nathaniel Wakelam (nnwakelam) nga Australia, Frans Rosen (fransrosen) nga Suedia dhe Ron Chan (ngalog) nga Hong Kongu.
Kontributi i njërit nga hakerët (DeVoss) përfshinë Verizon Media, Departamentin e Mbrojtjes së SHBA-s dhe një dobësi kritike në PayPal për të cilin raportim kishte pranuar $10,000 vitin e kaluar. “Arritja e objektivit prej 1 milion dollar amerikan fitim, është një e arritur e madhe dhe të bën të ndihesh shkëlqyeshëm kur kupton që së bashku me pesë hakerët e tjerë kemi arritur të kemi një ndikim kaq të madh. Shpresoj që të arriturat tona do të inkurajojnë hakerët e tjerë që të testojnë aftësitë e tyre, të bëhen pjesë e komunitetit tonë të përkrahjes së bizneseve dhe së bashku të bëjmë Internetin një ambient më të sigurt për ta,” ka deklaruar ai për një media.
Sipas “HackerOne” të cilët kanë hulumtuar mbi 120,000 dobësi të publikuara në 1,400 programe “Bug Bounty”, përveç këtyre gjashtë hakerëve që kanë arritur cakun e fitimit prej 1 milion dollarëve Amerikan secili, shtatë të tjerë kanë arritur cakun prej $500,000, ndërsa më shumë se 50 haker të tjerë kanë arritur fitime prej më shumë se $100,000.
Në përgjithësi, sipas raportit, hulumtuesit kishin fituar $12 milion gjatë 12 muajve të kaluar për zbulimin dhe raportimin e dobësive në platforma të ndryshme.
Mesatarja e pagesave për dobësitë kritike është rritur për 48% nga viti i kaluar, nga $2,281 në $3,384, me programet më konkurruese sot siç janë Google, Microsoft, Apple dhe Intel të cilët ofrojnë shpërblime “Bug Bounty” më të larta se $1.5 milion për dobësitë kritike.
Sipas raportit të “HackerOne”, lartësia e shpërblimit bëhet varësisht nga sa kritik është gabimi dhe sa ndikim ka ai në biznes. Sipas të njëjtit raport 25% të mangësive të gjetura janë klasifikuar si të rëndësisë së lartë ose kritike.
Vit pas viti programet “Bug Bounty” janë duke u zgjeruar edhe në sektor të tjerë sidomos në vendet e zhvilluara si në SHBA p.sh. ku Qeveria Federale ka rritjen më të madhe të kësaj industrie. Me lansimin e parë të këtyre programeve në nivelin komunal, rritja është bërë 214% për çdo vit.
Rritje është vërejtur edhe në industri të tjera si në atë automobilistike, të telekomunikacionit, në mallrat e konsumit dhe në industrinë e Blockchain-it/kriptovalutave. Organizatat e shërbimeve financiare kanë pasur rritje prej 41% të këtij programi këtë vit, për të identifikuar dobësitë në sigurinë e rrjetave dhe sistemeve të tyre. Në fakt, aktualisht 6 nga 10 bankat më të mëdha në Amerikën e Veriut vazhdimisht ekzekutojnë programe të tilla të sigurisë të mbështetur në shërbimet e hakerëve.
[i] Crowdsourcing – është kombinim i fjalëve angleze Crowds – grupe dhe Outsourcing – jashtme, që ka kuptimin e mbledhjes së burimeve të ndryshme (njohuri, ekspertizë, mallra dhe shërbime etj.) nga kompani të tjera apo nga ekspert të jashtëm.
Tag:bug bounty, hacker, haker