DC Studio / Shutterstock.comTiền thưởng lỗi (bug bounty) cho phép những người phát hiện ra lỗi bảo mật trong phần mềm và dịch vụ máy tính được thưởng tiền. Vậy để trở thành một thợ săn tiền thưởng lỗi, bạn có thể kiếm sống bằng công việc đó không?
Mục lục
Chương trình tiền thưởng lỗi là gì?
Phần mềm và dịch vụ chúng ta sử dụng hàng ngày được viết bởi con người thường chịu áp lực phải thiết lập và chạy mã của họ để doanh nghiệp có thể kiếm tiền. Mặc dù các phương pháp phát triển phần mềm hiện đại dẫn đến phần mềm có rất ít vấn đề nghiêm trọng đáng kể, nhưng không có cách nào để một nhóm nhỏ các nhà phát triển có thể thấy trước mọi khả năng hoặc nhìn thấy mọi sai lầm.
Ai được phép yêu cầu tiền thưởng lỗi?
Về nguyên tắc, ai phát hiện ra lỗ hổng hoặc người khai thác không quan trọng. Điều quan trọng là công ty biết về nó và khắc phục sự cố trước khi nó dẫn đến thiệt hại thực sự. Trong thực tế, tiền thưởng lỗi thường được các nhà nghiên cứu bảo mật chuyên nghiệp xác nhận. Đây là những chuyên gia cố tình tìm ra điểm yếu trong hệ thống và nhận tiền thưởng trả trước hoặc trả trước để thực hiện ” thử nghiệm thâm nhập ” cho một công ty.
Điều đó không có nghĩa là bạn không thể báo cáo nếu bạn tìm thấy nó, nhưng bạn cần phải tra cứu các yêu cầu để gửi và xem liệu bạn có thông tin kỹ thuật cần thiết để báo cáo vấn đề hay không.
Các chương trình tiền thưởng lỗi không phải tất cả đều giống nhau
Quy trình yêu cầu tiền thưởng lỗi và những gì đủ điều kiện để bạn nhận được khoản thanh toán khác nhau giữa các chương trình này với chương trình tiếp theo. Công ty được đề cập đặt ra các quy tắc cho những gì họ coi là một vấn đề đáng phải trả tiền để biết về. Nó cũng sẽ đặt định dạng thích hợp để báo cáo vấn đề đó, cùng với tất cả những điều cần biết để tái tạo và xác minh vấn đề.
Giá trị của một báo cáo đã xác minh cũng sẽ khác nhau. Một số công ty rất lớn, với ngân sách lớn cho bảo mật. Những người khác là các doanh nghiệp nhỏ hoặc công ty khởi nghiệp dựa vào các chương trình tiền thưởng lỗi để bù đắp cho đội ngũ nhân viên an ninh mạng thường trực tương đối nhỏ của họ. Trong trường hợp đó, tiền thưởng có thể khiêm tốn hơn.
Tìm các chương trình tiền thưởng lỗi ở đâu
Nơi đầu tiên để kiểm tra xem bạn có gặp phải lỗ hổng có thể báo cáo hay không là trang web của công ty sản xuất sản phẩm hoặc cung cấp dịch vụ được đề cập. Nói chung, chỉ có các công ty rất lớn mới chạy và quản lý các chương trình tiền thưởng lỗi của riêng họ.
Trang phục nhỏ hơn có nhiều khả năng sử dụng các dịch vụ thưởng lỗi chuyên biệt hơn. Ví dụ: danh sách chương trình tiền thưởng lỗi của HackerOne quảng bá các chương trình từ các công ty khác nhau được quản lý thông qua trang web.
Tiền thưởng lỗi phải trả là bao nhiêu?
Dean Drobot / Shutterstock.comNếu bạn đã truy cập danh sách tiền thưởng của lỗi HackerOne được liên kết ở trên, bạn có thể nhận thấy rằng mỗi chương trình đều liệt kê một số tiền thưởng tối thiểu. Nếu bạn mở một trong các chương trình, bạn sẽ thấy số liệu thống kê về khoản tiền thưởng trung bình cũng như các mức phần thưởng, tùy thuộc vào mức độ nghiêm trọng của lỗ hổng bảo mật.
Các vấn đề có mức độ nghiêm trọng thấp, trung bình và cao có thể thu về vài trăm đến một nghìn đô la, trong khi các lỗ hổng nghiêm trọng có thể kiếm được vài nghìn đô la.