CVE$5,000rewardcoordinated disclosure → fix + pay

Recompenses d'errors

11 lectura mínimaSeguretat

Els programes de recompensa d'errors permeten als investigadors de seguretat independents informar de vulnerabilitats a les empreses a canvi de recompenses en efectiu. El model ha produït pagaments individuals de diversos milions de dòlars, ha trobat exploits que haurien estat catastròfics si els descobrissin els delinqüents i ha creat carreres per a pirates informàtics ètics. També s'ha convertit en la manera com moltes organitzacions complementen els equips de seguretat interna.

El cos complet de l'article es proporciona en anglès a continuació.

Els programes de recompensa d'errors són acords estructurats en què les empreses paguen als investigadors de seguretat per trobar i revelar vulnerabilitats de manera responsable. El model va sorgir de Netscape el 1995, però es va convertir en corrent al voltant del 2010-2013 quan Facebook, Google i Microsoft van llançar programes importants. Ara funciona directament o a través de plataformes com HackerOne, Bugcrowd, Intigriti i Synack.

Com funciona un compromís de recompensa d'errors

  1. L'empresa publica una policy: quins sistemes estan en l'abast, quins estan fora de l'abast, quins tipus d'errors, quins són els errors i quins són els premis. molt.
  2. Els investigadors posen a prova els sistemes dins de l'abast dins de les regles de compromís (sense DoS, sense enginyeria social del personal, sense explotació real de les dades dels usuaris).
  3. Quan troben una vulnerabilitat, escriuen un informe detallat que inclou una prova de concepte i suggeriments de correcció. aclariment.
  4. ISi és vàlid, l'error es paga segons la gravetat. Els errors crítics obtenen els pagaments més grans; les troballes informatives reben un agraïment o una recompensa.
  5. L'empresa corregeix l'error; L'investigador i l'empresa poden publicar-ne els detalls després de desplegar la correcció.

Intervals de pagament

Intervals típics de 2026:

  • Baixa gravetat, informació baixa, divulgació de 100 $ XSS sense compromís del compte)
  • Medium — 1.000-5.000 $ (XSS emmagatzemat, CSRF en accions importants, IDOR amb exposició limitada de dades) falsificació de sol·licituds del costat del servidor amb accés a la xarxa interna)
  • Critical — 25.000-200.000 $ o més (execució de codi remot, exposició massiva de dades, escalada de privilegis a administrador) RCE en productes emblemàtics d'empreses com Apple, Microsoft, Google)

El programa d'investigació de seguretat d'Apple ha pagat recompenses individuals de més d'1 milió de dòlars per explotacions d'iOS de la cadena completa. El programa de recompenses per a vulnerabilitats de Google ha pagat milions acumulats. Pwn2Own ofereix més de 250.000 dòlars per a la demostració en directe de determinades explotacions.

Les grans plataformes

  • HackerOne: la més gran segons el nombre de programes. Allotja programes per al Departament de Defensa dels EUA ("Pirateja el Pentàgon"), GitHub, Goldman Sachs, Shopify i molts més.
  • Bugcrowd: un gran competidor. Fort en serveis financers i govern.
  • Intigriti: centrat a Europa, destacat per a les principals empreses de la UE.
  • Synack: investigadors només amb invitació, base de clients premium.
    • XPLZ7PLZ0X9XXPLZ7 Dia d'iniciatives1 vulnerabilitats dels investigadors, informes als venedors. Funciona Pwn2Own.
  • Allotjament autònom — Apple, Microsoft, Google, Facebook, Amazon, altres executen directament els seus propis programes.

L'economia

Per a les empreses, les recompenses d'errors més barates que es troben vulnerabilitats internes són dramàticament vulnerables. Un pagament de 5.000 dòlars per una troballa crítica és molt inferior al cost d'una violació. Les recompenses també aprofiten un grup global d'investigadors amb habilitats diverses; un equip intern té una experiència limitada.

Per als investigadors, les recompenses d'errors poden ser una carrera. Els millors investigadors guanyen sis xifres o set xifres anualment. Molts treballen a temps complet com a investigadors independents; altres fan recompenses a més de les feines diàries.

La competència de l'oferta és important. Molts caçadors de recompenses d'errors són hàbils, però competeixen pels mateixos errors. Els informes "duplicats" (quan algú altre informa primer del mateix error) no guanyen res.

Normes de divulgació de vulnerabilitats

Els programes de recompenses d'errors funcionen sota una divulgació coordinada: l'error es manté privat fins que el venedor té un temps raonable per solucionar-lo. La majoria dels programes permeten la divulgació pública després de la correcció o després de 90 dies. Els investigadors que revelin abans sense permís poden perdre la recompensa i danyar la seva reputació.

El concurs Pwn2Own i esdeveniments similars tenen un model diferent: els investigadors demostren l'explotació en directe, la conferència els paga i la vulnerabilitat es revela al venedor en una línia de temps coordinada.El mercat gris i els corredors de dia zero

Les recompenses de Bug competeixen amb un ecosistema paral·lel de corredors de vulnerabilitat PLZ3X que compren dies zero per a un ús ofensiu: Zerodium, Crowdfense, el braç de recerca del grup NSO, adquisicions governamentals. Aquests compradors paguen substancialment més que les recompenses d'errors legítimes: Zerodium ha pagat entre 2 i 2,5 milions de dòlars per explotacions d'iOS, enfront de la recompensa d'Apple d'un milió de dòlars per errors similars.

La decisió ètica correspon a l'investigador. Els investigadors que venen als compradors del mercat gris saben que els exploits s'utilitzaran contra objectius reals, de vegades periodistes o activistes. La ruta de recompensa legítima paga menys, però garanteix que l'error s'arregli.

Descobertes de recompenses d'errors comuns

  • Ovalsió d'autorització / IDOR — accedir a les dades que pertanyen a altres usuaris manipulant els identificadors a les trucades API
    • XPLZ1Z13XXPLZ1Z13XXPLZ16 — convincent un servidor per fer sol·licituds a la infraestructura interna
  • XSS emmagatzemat: injecció de JavaScript que s'executa als navegadors d'altres usuaris
  • SQL injection: encara es troba, especialment en aplicacions antigues i APIsXPLZ6AuXXPLZ27Z26AuXXPLZ25 weaknesses: restabliment de contrasenyes febles, reutilització de testimonis, bypass MFA
  • Configuracions incorrectes del núvol: cubs S3 exposats, punts finals Lambda públics, API Kubernetes sense protecció
  • XcePLZ35: explotació de les condicions actuals per explotar les condicions actuals comprova
  • Defectes de la lògica empresarial: defectes en els fluxos de transaccions que no s'ajusten a les categories de vulnerabilitat estàndard

Com entrar a la recompensa d'errors

  • Learn, conceptes bàsics del navegador HTTP, aplicació web bàsica, arquitectures
  • Pràctica en plataformes intencionadament vulnerables: Hack The Box, TryHackMe, PortSwigger Web Security Academy
  • Llegir informes públics: HackerOne i Bugcrowd publiquen informes divulgats com a recurs d'aprenentatge
  • Comença amb programes públics explícits. principiants
  • Enfoqueu-vos en una classe d'errors específica fins que us ajudeu a fer-ho
  • Paciència: els primers mesos poden oferir poques troballes vàlides o gens.

La barrera d'entrada és baixa (plataformes gratuïtes, recursos d'aprenentatge gratuïts), però la inversió de temps per ser eficaç és important. La comunitat és solidari; la competència és real.

Preguntes freqüents

Puc viure de les recompenses d'errors?
Un petit nombre d'investigadors ho fan. La majoria dels participants complementen els ingressos o construeixen habilitats per a una carrera de seguretat. Els que guanyen més són noms coneguts amb anys d'experiència. Les estimacions de "els 100 millors investigadors guanyen més de 200.000 dòlars anuals" són realistes; per sota del nivell superior, els guanys cauen bruscament.
Les recompenses per errors són legals?
Sí quan es realitza dins de la política d'un programa. Les proves de sistemes fora de l'abast del programa, o les proves sense autorització, poden infringir les lleis de frau informàtic. La política del programa és l'autorització legal; desviar-s'hi elimina aquesta autorització.
Quina diferència hi ha entre la recompensa d'errors i les proves de penetració?
El pentesting es contracta, es fa en una caixa de temps, sovint amb un informe escrit. La recompensa d'errors és oberta, basada en resultats, amb pagaments per error trobat. Són complementaris: moltes empreses fan les dues coses. Pentesting prova a fons un àmbit definit; bug Bounty aprofita un grup més gran de provadors amb enfocaments diversos.
Per què existeixen plataformes en lloc de programes directes?
Les plataformes s'ocupen de la part operativa: incorporació d'investigadors, processament de pagaments (inclòs per a investigadors de molts països), marcs legals, triatge, resolució de disputes. Les empreses més petites poden llançar programes de recompensa d'errors a través de plataformes en dies; dirigir-ne un requereix directament un equip dedicat.
He d'informar d'un error a una empresa sense un programa de recompenses?
Sí, però amb precaució. La majoria de les empreses tenen un correu electrònic de seguretat@ o una política de divulgació de vulnerabilitats. Algunes empreses han respost als informes de bona fe amb accions legals (rares però documentades). Utilitzeu terminis de divulgació coordinats, documenteu la vostra intenció de bona fe i considereu passar per un CERT (CISA als EUA, equivalents nacionals en altres llocs) si trobeu resistència.
Explicació de les recompenses d'errors: com les empreses paguen als investigadors per trobar les seves vulnerabilitats