$ 100.000 per aver hackerato legalmente grandi compagnie

$ 100.000 per aver hackerato legalmente grandi compagnie

Questo ragazzo ha guadagnato $ 100.000 per aver hackerato legalmente grandi compagnie

 

Sam Curry

Sam Curry, uno studente di 18 anni a Lincoln, in Neb., È ossessionato dai computer fin dalla giovane età, ma il suo hobby non è sempre stato costruttivo.

Come studente del secondo anno al liceo, si trovò nei guai per aver hackerato i computer della sua scuola. Ha trovato un modo nel sistema che gli ha permesso di posare come amministratore. Avrebbe potuto cambiare i voti degli studenti o fare danni reali, disse, ma voleva solo entrare nella rete come una burla. Gli amministratori della scuola non erano divertiti e lo sospesero per due settimane.

La volta successiva che ha trovato una vulnerabilità di sicurezza, piuttosto che sfruttarla, l’ha segnalata all’amministrazione delle scuole superiori. Gli hanno regalato una carta regalo da $ 50 al ristorante fast food Subway come ricompensa. 

È la prima volta che mi rendo conto che esiste uno sbocco positivo per questo lavoro e forse potrei essere pagato per questo. 

Ha trasformato le sue capacità di codifica in hacker “a cappello bianco”. Cioè, hackerare sistemi per proteggere le aziende, non esporle.

Da allora, Curry ha fatto più di $ 100.000 da hacking legalmente istituzioni di alto profilo tra cui il Dipartimento della Difesa degli Stati Uniti, la società di videogiochi Valve e Yahoo. È uno di un numero crescente di hacker che incassano su “bug bounties” – ricompense monetarie che le organizzazioni pagano agli hacker per esporre le vulnerabilità nei loro sistemi.

Questo tipo di test di sicurezza crowdsourcing sta “avvicinandosi rapidamente alla massa critica” secondo un rapporto del giugno 2018 della società di ricerche del settore Gartner. È diventato così popolare che è quasi normale che le aziende partecipino a questi programmi e si prevede che continueranno a crescere.

Il numero di vulnerabilità nel software, nell’hardware e nei dispositivi connessi è in aumento , ha dichiarato Rick Moy, responsabile marketing della società di sicurezza informatica Acalvio Technologies . 

Arruolare l’aiuto di hacker white-hat per scoprirli prima che i cattivi abbiano perfettamente senso”, ha detto. “Questa tendenza sta guadagnando slancio e legittimità con le grandi e piccole aziende private e del settore pubblico che entrano a far parte di questa iniziativa.

Un singolo hack può pagare $ 250.000
Aziende come Google e Apple offrono fino a $ 200.000 come ricompensa per un singolo hack. Intel e Microsoft offrono fino a $ 250.000. Microsoft ha lanciato un ulteriore programma di bug bug specifico per i servizi di identità lo scorso mercoledì con pagamenti che vanno da $ 500 a $ 100.000.

Il payout medio per trasformare una vulnerabilità di sicurezza in un programma di taglie di hacker hat bianco è di $ 2.000 secondo uno studio di HackerOne, una società di sicurezza informatica basata su hacker che consente alle aziende di elencare i progetti di hacking per le persone che vogliono ottenere premi in denaro.

Curry usa HackerOne per trovare i suoi concerti di hacking. Altre aziende come SynAck e BugCrowd sono anche talentose hacker. La maggior parte di Curry ha prodotto un solo hack di $ 12.000, che è stato utilizzato per acquistare un’auto sportiva Toyota Corolla del 2014. Ora lavora a progetti di bug bug circa 20 ore alla settimana, lavorando principalmente dalle 21:00 alle 2:00 dopo il lavoro scolastico diurno.

“È più un trambusto che un lavoro a tempo pieno”, ha detto. “Non penso che sia salutare essere un bug bounty hunter per 40 o 50 ore a settimana perché perdi quel senso di creatività e obiettività che ti aiuta”.

HackerOne ospita programmi di taglie per Uber ( che paga una taglia media di $ 500 per hack) Snapchat, Yahoo, Sony, Spotify, Starbucks e il Dipartimento della Difesa degli Stati Uniti.

“Affrontare le vulnerabilità prima che i nostri avversari possano sfruttarle è essenziale”
Assegnare gli hacker uno alla volta è spesso più economico che impiegare altri ricercatori di sicurezza a tempo pieno. Incoraggia inoltre gli hacker online a monetizzare la propria ricerca attraverso una strada legittima invece di vendere hacker nel web oscuro ai criminali informatici e ai cyberattacker nazionali, ha dichiarato Chris Morales, responsabile delle analisi di sicurezza presso la società di analisi delle minacce informatiche Vectra.

“Le aziende che ospitano programmi di bug bug possono risolvere i problemi prima che diventino ampiamente conosciuti e sfruttati”, ha affermato. “Alla fine, una società di software ha bisogno di prendere una decisione rispetto all’acquisto. Vogliono eseguire il programma di bug bug da soli o possono beneficiare di una terza parte che ne esegue uno per loro? “

Per Oath, una società di media digitali di proprietà di Verizon, un programma di taglie di cappello bianco è diventato parte integrante del suo più ampio programma di sicurezza, ha affermato Chris Nims, responsabile della sicurezza delle informazioni. “Affrontare le vulnerabilità e risolverle prima che i nostri avversari possano sfruttarle è essenziale per aiutarci a creare marchi che le persone amano e di cui si fidano”, ha affermato. Nel mese di aprile, la società ha ospitato una sorta di hackathon in cui ha premiato più di $ 400.000 in un giorno gli specialisti della sicurezza dei white hat per trovare vulnerabilità nei suoi sistemi.

Uber ha coperto un pagamento di taglia da $ 100.000 I
programmi di taglie di Bug non sono stati privi di controversie: nel novembre 2017, l’amministratore delegato di Uber ha rivelato che la società era stata costretta a pagare un hacker ventenne di $ 100.000 dopo aver scoperto una violazione del 2016 di 57 milioni email dei clienti e altri dati. Il pagamento massimo per gli hack di cappello bianco Uber all’epoca era di $ 10.000. A novembre, l’amministratore delegato Dara Khosrowshahi ha dichiarato che Uber ha sbagliato a coprire il pagamento per più di un anno, dicendo: “Stiamo cambiando il modo in cui facciamo affari”. Uber ha dichiarato a MarketWatch di aver pagato $ 1,5 milioni a più di 500 ricercatori fino ad oggi reperti legittimi.

I bounty Bug non sono più solo per vulnerabilità della sicurezza: Facebook ha lanciato una “bounty sugli abusi di dati” ad aprile dopo le polemiche relative a Cambridge Analytica, una società di dati che ha acceduto alle informazioni di 87 milioni di utenti. Ora premierà le persone che segnalano difetti della privacy ad alto impatto fino a $ 40.000.

Per quanto riguarda Curry, ha detto che è cresciuto dal trovare una comunità di hacker con cui comunicare. “La cosa bella della comunità di bug bug è che anche se ci sono così tanti soldi coinvolti è una delle comunità più collaborative di sempre”, ha detto. Ora gestisce un blog in cui condivide come ha scoperto diverse vulnerabilità e piani per continuare nel campo della ricerca sulla sicurezza dopo il college.

“Ci sono molti stereotipi sugli hacker – per un po ‘la mia famiglia ha pensato che fosse un grande periodo di tempo e antisociale fino a quando finalmente ho iniziato a essere pagato per questo”, ha detto. “Ho passato la mia vita con la mia famiglia pensando che stavo solo diventando improduttivo, ma ora sto controllando”.

Rispondi

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

%d blogger hanno fatto clic su Mi Piace per questo: