애플, 페이스북, 구글 및 원플러스의 버그 바운티 프로그램

버그 바운티 프로그램은 개인이 버그, 특히 악용 및 취약점과 관련된 버그를 보고함으로써 인정을 받고, 가장 중요한 보상을 받을 수 있는 거래로, 많은 특히 저명한 웹사이트, 조직 및 소프트웨어 개발자들이 제공합니다. 이 프로그램을 제공하는 거대 기업들 중에는 애플, 페이스북, 구글 및 원플러스가 있습니다.

버그 바운티 프로그램

애플

2016년 애플이 제공한 버그 바운티 프로그램은 iOS에 한정되었고 초대받은 사람만 참여할 수 있었습니다. 애플은 이제 모든 보안 연구원에게 버그 바운티 프로그램을 개방하고 있으며, 보상은 100만 달러 이상입니다. 이 프로그램은 공개되어 있으며 애플은 iCloud, iPadOS, macOS, tvOS 및 watchOS가 버그 바운티 목록에 포함될 것이라고 발표했습니다.

유리한 보상은 연구원 측에서 문제에 대한 철저하고 상세한 설명을 요구하며, 애플이 이를 재현할 수 있도록 충분한 세부정보를 제공해야 합니다. 보상은 발견된 버그의 수준에 따라 결정되며, 여러 애플 플랫폼에서 발견된 버그, 특히 최신 애플 장치 및 소프트웨어에 영향을 미치는 문제가 가장 높은 보상을 받습니다.

소프트웨어의 베타 버전에서 발견된 버그는 연구원에게 표준 보상 금액에 50% 보너스를 추가로 제공합니다. 잠금 화면 우회, 잠긴 장치에서 데이터 추출 및 무단 iCloud 접근에 대한 보상도 있습니다. 이 중 가장 높은 보상은 사용자의 상호작용 없이 전체 장치를 장악할 수 있는 연구원에게 주어집니다.

애플의 버그 바운티 프로그램은 다소 구식이지만, 여러 기술 대기업들이 처음부터 공개한 수많은 새로운 프로그램이 있음에도 불구하고 여전히 가장 수익성 높은 버그 바운티 프로그램 중 하나입니다.

여기 확인하세요

페이스북

페이스북은 개인 정보 보호 정책과 관련하여 매우 악명 높았으며, 그래서 많은 뉴스에 등장했습니다. 따라서 버그 바운티 프로그램은 매우 필요했고 2011년에 시작되었습니다. 누구나 보고서를 제출하고 회사 시스템을 보호하는 데 도움을 주면 보상을 받을 수 있습니다.

페이스북이 제공하는 바운티 프로그램은 업계에서 가장 오래되고 성숙한 프로그램 중 하나로, 총 약 800만 달러의 보상을 지급했습니다. 데이터 남용은 페이스북의 주요 관심사이며, 페이스북과 관련된 제3자 개발자들도 같은 이유로 면밀히 조사됩니다. 연구원들은 이를 보고하고 그에 따라 보상을 받을 수 있습니다.

여기 확인하세요

구글

구글의 안드로이드 버그 바운티 보상 프로그램은 2015년에 도입되어 보안 문제를 발견하고 보고하는 연구원에게 보상을 제공합니다. 이 프로그램은 픽셀 장치 및 최신 안드로이드 버전에서 발견된 취약점을 포함합니다.

이 프로그램에서 제공되는 가장 유리한 보상은 구글의 타이탄 M 칩과 관련된 100만 달러 보상이며, 그러나 보상은 아직 청구되지 않았습니다. 보상의 배분에는 재량적인 측면과 특정 조건이 붙어 있습니다. 보상과 관련된 몇 가지 요소는 다음과 같습니다:

• 악용이 작동하는 방식을 설명하는 상세한 작성물.
• 초기 공격 벡터(즉, 원격 악용 대 로컬).
• 악용이 장치 또는 빌드 특정인지, 아니면 광범위한 빌드 및 장치에서 작동하는지 여부.
• 악용이 작동하는 데 필요한 사용자 상호작용의 양.
• 사용자가 악용이 진행 중이거나 완료되었음을 감지할 수 있는지 여부.
• 악용의 신뢰성.
• 특정 개발자 미리보기 버전의 안드로이드에서 발견된 악용 체인은 최대 50% 추가 보상 보너스 대상입니다.

구글은 사이버 보안 분야에서 큰 주목을 받고 있으며, 2019년 한 해에만 150만 달러 이상의 버그 바운티를 지급했습니다. 이 중 최고 보상 지급액은 161,337달러였습니다.

여기 확인하세요

원플러스

원플러스는 두 가지 다른 버그 바운티 프로그램을 제공하며, 상당한 보상을 제공합니다. 첫 번째는 원플러스 보안 응답 센터로, 연구원이 Oxygen OS 내에서 발견한 보안 버그에 대해 50달러에서 7,000달러 사이의 보상을 지급합니다. 이 바운티는 누구에게나 열려 있으며, 원플러스 버그를 발견하고 문제를 설명하는 온라인 양식을 제출하면 됩니다. 증명 개념과 버그 보고서는 표절해서는 안 됩니다.

두 번째 바운티 프로그램은 해커원이라는 보안 플랫폼과 협력하여 운영됩니다. 여기서 선택된 해커원 연구원만이 원플러스 제품을 사적인 환경에서 잠재적인 보안 위협을 테스트합니다. 이 프로그램은 2020년에 공개될 것이라고 합니다.

원플러스는 대체로 안전하고 완벽한 경험을 제공하는 것으로 명성이 높지만, 원플러스 장치에서 안드로이드 10의 배포 실패를 감안할 때, 버그 바운티 프로그램은 매우 유용합니다.

이 거대 기업들 외에도, 최근 보안 문제가 기록적으로 증가함에 따라 많은 다른 기술 회사들이 버그 바운티 프로그램을 시작하고 있으며, 이는 사람들이 이러한 기술 회사들이 만든 시스템의 안전성을 유지하면서 허점을 찾아내는 데 보상을 받을 수 있도록 보장합니다.

여기 확인하세요