Hadiah bug memungkinkan orang yang menemukan kelemahan keamanan dalam perangkat lunak dan layanan komputer untuk diberi hadiah uang. Jadi apa yang diperlukan untuk menjadi pemburu hadiah bug, dan dapatkah Anda menghasilkan uang dengan melakukannya?
TERKAIT: Jika Anda Dapat Meretas ExpressVPN, Mereka Akan Memberi Anda $100,000
Apa itu Program Bounty Bug?
Perangkat lunak dan layanan yang kami gunakan setiap hari ditulis oleh orang-orang yang sering berada di bawah tekanan untuk menjalankan kode mereka agar bisnis dapat menghasilkan uang. Meskipun metode pengembangan perangkat lunak modern menghasilkan perangkat lunak dengan sedikit masalah serius, tidak ada cara bagi sekelompok kecil pengembang untuk memprediksi setiap kemungkinan atau mendeteksi setiap kesalahan.
Bandingkan ini dengan pasukan peretas yang mencari setiap kemungkinan celah dalam pelindung kode itu, dan jelas mengapa program bug bounty diperlukan. Program-program ini menawarkan penghargaan kepada orang-orang yang menemukan kerentanan yang kredibel atau jenis masalah lain yang memenuhi syarat dengan aplikasi dan layanan yang disediakan.
Siapa yang Dapat Mengklaim Bug Bounty?
Pada prinsipnya, tidak masalah siapa yang menemukan kerentanan atau eksploitasi. Yang penting adalah perusahaan mengetahuinya dan memperbaiki masalahnya sebelum menyebabkan kerusakan nyata. Dalam praktiknya, bug bounty sering diklaim oleh peneliti keamanan profesional. Ini adalah spesialis yang dengan sengaja mencoba menemukan kerentanan dalam sistem dan bisa mendapatkan bayaran atau melakukan pengujian penetrasi terlebih dahulu untuk sebuah perusahaan.
Itu tidak berarti Anda tidak dapat melaporkannya jika Anda melihatnya, tetapi Anda perlu mencari persyaratan untuk pengiriman dan melihat apakah Anda memiliki informasi teknis yang diperlukan untuk melaporkan masalah tersebut.
Program Bug Bounty Tidak Sama
Proses untuk mengklaim hadiah bug dan apa yang membuat Anda memenuhi syarat untuk mendapatkan pembayaran bervariasi dari satu program ke program lainnya. Perusahaan yang bersangkutan menetapkan aturan untuk apa yang dianggapnya sebagai masalah yang perlu diketahui. Ini juga akan mengatur format yang tepat untuk melaporkan masalah itu, termasuk semua yang perlu diketahui untuk mereplikasi dan memverifikasi masalah.
Jumlah uang biaya laporan terverifikasi juga akan bervariasi. Beberapa perusahaan sangat besar, dengan anggaran besar untuk keamanan. Lainnya adalah usaha kecil atau perusahaan rintisan yang mengandalkan program bug bounty untuk menggantikan staf keamanan siber permanen mereka yang relatif kecil. Dalam hal ini, karunia mungkin lebih sederhana.
Dimana Menemukan Program Bug Bounty
Tempat pertama untuk memeriksa apakah Anda mengalami kerentanan yang dapat dilaporkan adalah situs web perusahaan yang membuat produk atau menawarkan layanan yang dimaksud. Umumnya, hanya perusahaan yang sangat besar yang menjalankan dan mengelola program karunia bug mereka sendiri.
Pakaian yang lebih kecil lebih cenderung menggunakan layanan hadiah bug khusus. Misalnya, daftar program bug bounty HackerOne mempromosikan program dari berbagai perusahaan yang dikelola melalui situs tersebut.
Berapa Bayaran Bug Bounty?
Jika Anda mengunjungi daftar hadiah bug HackerOne yang ditautkan di atas, Anda mungkin telah memperhatikan bahwa setiap program mencantumkan jumlah hadiah minimum. Jika Anda membuka salah satu program, Anda dapat melihat statistik tentang pembayaran bounty rata-rata serta tingkatan hadiah, tergantung pada tingkat keparahan kerentanannya.
Masalah tingkat keparahan rendah, sedang, dan tinggi dapat menghasilkan beberapa ratus hingga seribu dolar, sementara kerentanan kritis dapat membayar beberapa ribu dolar.
Ada beberapa bonus yang benar-benar mengejutkan yang dibayarkan selama bertahun-tahun dan penawaran besar, tetapi ini seperti memenangkan lotre. Anda harus terjadi pada eksploitasi satu dalam sejuta dan itu harus dalam sistem pemain besar dengan uang sebanyak itu. Jika Anda ingin mendapatkan hadiah bug, kemungkinan besar Anda akan mendapatkan penghasilan tetap dari bug umum kecil yang keluar melalui pengujian penetrasi sistematis.