تتيح مكافآت الأخطاء (باغ) للأشخاص الذين يكتشفون عيوباً أمنية في برامج وخدمات الكمبيوتر أن يكافؤوا بالمال. إذاً ما الذي يتطلبه الأمر لتصبح صائداً للأخطاء، وهل يمكنك كسب لقمة العيش من القيام بذلك؟
ما هي برامج مكافآت الباغ Bug Bounty؟
يتم كتابة البرامج والخدمات التي نستخدمها كل يوم من قبل البشر في كثير من الأحيان للحصول على التعليمات البرمجية وتشغيلها حتى تتمكن الشركة من جني الأموال.
بينما تؤدي أساليب تطوير البرامج الحديثة إلى برامج بها القليل من المشكلات الخطيرة بشكل ملحوظ، فلا توجد طريقة لمجموعة صغيرة من المطورين لتوقع كل الاحتمالات أو رؤية كل خطأ منفرد.
قارن هذا الشيء بجيش المخترقين الذين يبحثون عن كل ثغرة محتملة في الرمز (الكود)، ومن الواضح سبب ضرورة برامج مكافآت الأخطاء.
تقدم هذه البرامج مكافأة للأشخاص الذين يكتشفون ثغرة أمنية ذات مصداقية أو نوع مؤهل آخر من المشاكل في التطبيقات والخدمات المقدمة.
من الذي سيطالب بمكافآت الأخطاء؟
من حيث المبدأ، لا يهم من يكتشف ثغرة أمنية أو برنامج استغلال. المهم أن تعلم الشركة بالأمر وتعمل على إصلاح المشكلة قبل أن تؤدي ذلك إلى ضرر حقيقي.
في الممارسة العملية، غالباً ما يطالب باحثو الأمن المحترفون بمكافآت الأخطاء. هؤلاء هم المتخصصون الذين يحاولون عمداً العثور على نقاط ضعف في الأنظمة وإما يحصلون على مكافآت مدفوعة أو مقدماً لإجراء اختبار اختراق لشركة.
هذا لا يعني أنه لا يمكنك الإبلاغ عن خطأ إذا وجدته، ولكن عليك البحث عن متطلبات الإرسال ومعرفة ما إذا كان لديك المعلومات الفنية اللازمة للإبلاغ عن المشكلة.
برامج مكافآت الأخطاء Bug Bounty ليست كلها متشابهة:
تختلف عملية المطالبة بمكافأة الخطأ وما يؤهلك للحصول على الدفعة من برنامج إلى آخر. تضع الشركة المعنية القواعد لما تعتبره مشكلة تستحق أن تعرفها.
سيتم تعيين التنسيق المناسب للإبلاغ عن هذه المشكلة أيضاً، جنباً إلى جنب مع جميع الأشياء التي تحتاج إلى معرفتها لتكرار المشكلة والتحقق منها.
سيختلف أيضاً مبلغ المال الذي يستحقه التقرير الذي تم التحقق منه. بعض الشركات ضخمة ولديها ميزانيات كبيرة للأمن.
البعض الآخر عبارة عن شركات صغيرة أو شركات ناشئة تعتمد على برامج مكافآت الأخطاء لتعويض موظفي الأمن السيبراني الدائمين الصغير نسبياً. في هذه الحالة، قد تكون المنح أكثر تواضعاً.
أين تجد برامج مكافآت الأخطاء Bug Bounty؟
أول مكان للتحقق مما إذا كنت تواجه ثغرة أمنية يمكن الإبلاغ عنها هو موقع الشركة الذي يصنع المنتج أو يقدم الخدمة المعنية. بشكل عام، الشركات الكبيرة جداً فقط هي التي تدير برامج مكافآت الأخطاء الخاصة بها.
من المرجح أن تستخدم الجماعات الأصغر خدمات مكافآت الأخطاء المتخصصة. على سبيل المثال، تروّج قائمة برنامج مكافأة الأخطاء في HackerOne لبرامج من شركات مختلفة تتم إدارتها من خلال الموقع.
كم تدفع برامج مكافآت الأخطاء؟
إذا قمت بزيارة قائمة مكافأة أخطاء HackerOne التي أشرنا إليها أعلاه، فربما تكون قد لاحظت أن كل برنامج يسرد الحد الأدنى لمبلغ المكافأة.
إذا فتحت أحد البرامج، فسترى إحصائيات حول متوسط مدفوعات المكافأة بالإضافة إلى فئات المكافآت، اعتماداً على شدة الثغرة الأمنية.
قد تصل تكلفة المشكلات منخفضة ومتوسطة وعالية الخطورة من بضع مئات إلى آلاف الدولارات، في حين أن نقاط الضعف الحرجة يمكن أن تدفع عدة آلاف من الدولارات.
كانت هناك بعض المكافآت المذهلة حقاً التي تم دفعها على مر السنين وعروض ضخمة، ولكن هذه إلى حد ما مثل الفوز في اليانصيب.
إذا كنت ترغب في كسب لقمة العيش من مكافآت الأخطاء، فمن المرجح أن تحصل على دخل ثابت من الأخطاء الشائعة الصغيرة التي تظهر من خلال اختبار الاختراق المنتظم.