Bug Bounty
Phần thưởng được trao cho việc xác định các lỗ hổng trong phần mềm
Tiền thưởng lỗi là gì?
Tiền thưởng lỗi được đưa ra với hy vọng rằng các lỗ hổng bảo mật sẽ được xác định và báo cáo cho chủ sở hữu phần mềm trước khi chúng có thể bị khai thác bởi một kẻ bất chính. Trong tiền điện tử, tiền thưởng lỗi thường được cung cấp bởi các doanh nghiệp tiền điện tử như giao thức, sàn giao dịch và nhà khai thác ví.
Các kế hoạch tiền thưởng có thể được coi là cuộc cạnh tranh giữa các hacker thân thiện. Các kế hoạch được mở công khai – và công ty cung cấp tiền thưởng lỗi (về mặt lý thuyết) có thể vá bất kỳ lỗ hổng nào đã được xác định trước khi chúng bị những kẻ xấu biết đến.
Trong hầu hết các trường hợp, tiền thưởng lỗi được định giá tùy theo mức độ nghiêm trọng của lỗ hổng được xác định. Theo HackerOne, gần 900.000 đô la tiền thưởng lỗi đã được thanh toán chỉ trong năm 2018. Giá trị của các khoản tiền thưởng riêng lẻ có thể rất thấp – và các công ty thường trả khoảng 100 đô la như một khoản tiền thưởng để xác định lỗ hổng bảo mật mức độ nghiêm trọng thấp. Tuy nhiên, các lỗ hổng nghiêm trọng đôi khi có thể thu hút tiền thưởng từ 10.000 đô la trở lên.
Một số tin tặc kiếm được một khoản tiền đáng kể khi xác định lỗi. Guido Vranken, một nhà nghiên cứu người Hà Lan, đã xác định được 12 lỗi trong khoảng thời gian một tuần – và đổi lại EOS đã được trả 120.000 đô la.
Từ quan điểm của chủ sở hữu phần mềm, tiền thưởng lỗi được coi là một hoạt động bảo mật bổ sung, được sử dụng cùng với các biện pháp chủ động khác.
Ưu tiên quan trọng nhất của các nhà phát triển là xây dựng mã bảo mật và giảm thiểu các lỗ hổng bảo mật trước khi xuất xưởng một sản phẩm. Tuy nhiên, ngay cả những nhà phát triển cẩn thận nhất cũng sẽ không tránh khỏi lỗi và một số lỗi trong số này có thể gây ra rủi ro bảo mật. Do đó, tiền thưởng lỗi hoạt động như một tuyến phòng thủ thứ hai quan trọng bảo vệ chủ sở hữu và người dùng phần mềm khỏi những kẻ xấu.
Bug Bounty
A reward offered for the identification of vulnerabilities in software
What is a bug bounty?
Bug bounties are offered in the hope that security vulnerabilities will be identified and reported to the owner of software before they can be exploited by a nefarious actor. In crypto, bug bounties are often offered by cryptocurrency businesses such as protocols, exchanges, and wallet operators.
Bounty schemes can be thought of as competitions between friendly hackers. The schemes are opened publicly — and the company offering the bug bounty is (theoretically) able to patch any identified vulnerabilities before they become known to bad actors.
In most cases, bug bounties are valued according to the severity of the vulnerability identified. According to HackerOne, almost $900,000 in bug bounties were paid out in 2018 alone. The value of individual bounties can be very low — and it is common for companies to pay about $100 as a bounty for the identification of a low-severity vulnerability. However, critical vulnerabilities can sometimes attract bounties of $10,000 or more.
Some hackers make significant sums of money identifying bugs. Guido Vranken, a Dutch researcher, identified 12 bugs in the space of a week — and was paid $120,000 by EOS in return.
From a software owner’s perspective, bug bounties are considered to be a supplementary security activity, used in addition to other proactive measures.
The most important priority for developers is building secure code and minimizing vulnerabilities before shipping a product. However, even the most careful developers will inevitably miss bugs, and some of these may pose security risks. Bug bounties therefore act as an important second line of defence protecting software owners and users from bad actors.
