バグハンター

公開: 2020-03-29

2020 年は、何らかの形ですべての人に影響を与えました。 自宅で仕事をする利点がある人もいますが、労働者のように 1 日 2 回の食事をほとんど確保できない人もいます。 自動車産業などの大規模産業も大きな影響を受けています。 一方、IT企業や多国籍企業は生き残るだけでなく、売上高と利益を大幅に伸ばしています。 人気を博している企業の 1 つが Zoom です。 Zoom が提供するデータによると、2018 会計年度の収益は 1 億 2,150 万ドルで、2020 年には 6 億 2,270 万ドルに増加しました (5 月まで)。 企業だけでなく、個人も今年は巨額の利益を上げています。

バグハンター

最近、この封鎖の中で数十万ドルの報酬と価格を獲得したオンラインのハッカーとハンターについて話している記事を読みました。 Bhavuk Jain – デリー出身の男性が、システムに重大なバグを発見したことで Apple から 10,000 ドルを獲得しました。 Facebook のソーシャル ネットワーキング プラットフォームのバグを特定したことで、アーメダバードの男が 3 万 1,500 ドルの賞金を獲得しました。 そこで疑問が生じるかもしれません: これらのハンターは誰で、ハッキングによってどのように稼いでいるのでしょうか? 答えを見つけるには、読み続けてください。

これらのハッカーは誰ですか?

これらのハッカーはハンターと呼ばれ、システムのバグを見つけ、セキュリティの弱点を組織に報告します。 その見返りに、組織は彼らに金銭的な報酬を支払います。 バグ ハンターであることには、独自のメリットがあります。 彼らは、自分の発見を会社や組織に開示し、かなりの金額または報酬で支払われる人です. バグ報奨金を獲得するには、優れた観察スキル、優れた技術知識、および優れた文書化スキルが必要です。

以前は、ハッカーはバグを見つけて報告し、会社から有利な仕事のオファーが得られることを期待していました。 当時、同社の殿堂入りは、当時のほとんどのハッカーにとって十分なオファーでした。 現在、これらのバグ ハンターが求めているのは、1 つのハッキング プロジェクトを完了した後に次のハッキング プロジェクトに移行できるように、金銭的な報酬という形での見返りです。 「バグ報奨金プログラム」という言葉を聞いたことがありますか? これらのプログラムの下で、組織とソフトウェア会社は、システムにバグや脆弱性を見つけて報告した個人に取引と報酬を提供します。 Microsoft、Google、Facebook、Reddit などの企業や組織は、望ましくないインシデントを防ぐために、システム内のバグを発見して解決するためのバグ報奨金プログラムを実装しています。

バグ ハンター向けのトレンド プラットフォーム

次に、個人に追加の現金を獲得する機会を提供する、さまざまな傾向のあるバグ報奨金プラットフォームについて話しましょう。 これらのプラットフォームは、Upwork、Fiverr、Freelancer などの従来のフリーランス プラットフォームとは異なります。 フリーランスのプラットフォームでは、プロジェクトに入札し、クライアントを納得させる提案を行う必要があります。 クライアントを惹きつけ、プロジェクトを提供するよう説得できる最も重要なことの 1 つは、あなたのプロフィールと評価です。 これだけの手続きを経ても、プロジェクトが与えられる保証はありません。

一方、バグ報奨金プラットフォームは単純です。 企業や組織はプロジェクトをアップロードし、処理が必要なモジュールまたはプロジェクトに名前を付けます。 ハンター、研究者、ハッカーはオンラインでプロジェクトをチェックし、脆弱性を報告できます。 また、複数の研究者が 1 つのプロジェクトに取り組むことも、その逆も可能です。 提出されたレポートが有効で信頼できるものである場合、バグの重大度に基づいて報奨金が支払われます。 これらのバグ報奨金プラットフォームは誰にでも開かれており、資格のある候補者はこれらのプラットフォームから稼ぐことができると言えます。 Upwork 自体は、フリーランサー プラットフォームをテストし、プラットフォームが安全で脆弱性がないことを確認するために、Bugcrowd プラットフォームの研究者を招待しています。

freelancing-platforms-vs-bug-bounty-platforms

以下は、有名なバグ報奨金プラットフォームの一部です。

バグクラウド

サンフランシスコに拠点を置くセキュリティプラットフォームです。 そのビジネス モデルは、クラウドソーシングによるセキュリティおよびサイバー セキュリティの研究者に完全に基づいています。 このプラットフォームは、シンプルでわかりやすい方法で機能します。

  • ソフトウェア会社または組織は、プロジェクトまたはモジュールを Bugcrowd プラットフォームにアップロードし、より安全にする必要がある可能性のある攻撃面について言及します。 プログラムを非公開にするか、クラウド コミュニティに公開するかは、組織次第です。
  • プログラムが公開されると、クラウド コミュニティは脆弱性を発見し、報告することができます。
  • レポートの有効性と重大度に基づいて、報酬が与えられます。

プログラムの重大度を識別するために、P1 から P4 までのさまざまなレベルがあります。 P1 が最も重要です。

Bugcrowd を使用すると、研究者は他の研究者と協力して特定のプロジェクトに取り組み、プラットフォームで報告することができます。 バグの発見を追跡するのは楽しいことです。 したがって、Bugcrowd がこれを行います。 他の研究者の間でのあなたのこれまでのポイントとランクは、あなたのプロフィールで維持されます。 あなたが競争力のある性質を持っているなら、あなたは間違いなくこれを楽しむでしょう.

ハッカーワン

HackerOne – サンフランシスコを拠点とする会社で、ロンドン、シンガポール、オランダなどの多くの都市にオフィスを構えています。 そのハッカー コミュニティはクラス最高です。 コミュニティには 6 万人以上のハッカーが登録されています。 HackerOne の企業または組織は、多様で才能のあるハッカーのコミュニティにアクセスできます。 米国国防総省、Google、Intel、Lufthansa、および世界中の他の多くのグローバル企業が HackerOne と提携しています。

HackerOne のハッカーは、リーダーボードでステータスと評判を獲得し、維持することができます。 リーダーボードをクラックしてコミュニティのトップ ハッカーになることができれば、秘密のターゲットにアクセスし、プライベート プログラムに招待される機会を得ることができます。 これにより、担当者が増え、かなりの額の現金を得ることができます。

HackerOne は、世界中でライブ ハッキング イベントを開催することでも知られています。 彼らのライブイベントにはメンターシッププログラムがあります。 これらのイベントにより、新しいハッカーは熟練したハッカーと提携できます。 熟練したハッカーと協力して、学習とバグ ハンティングのテクニックを加速させることができます。

シナック

Synack – カリフォルニアに拠点を置く会社は、クラウドソーシングによるセキュリティ プラットフォームです。 Synack は、HackerOne や Bugcrowd ほど単純ではありません。 Synack コミュニティに参加するには、手順に従って申請する必要があります。 Syncak コミュニティには、Synack Red Team の一部である 82 か国のセキュリティ研究者がいます。

Synack では、ハッカーまたは研究者は 2 つの方法でお金を稼ぐことができます。 1 つ目は、バグや脆弱性を追跡して報告することです。 もう 1 つの方法は、ミッションを完了して報酬を受け取ることです。 そのためには、Synack Red Team のメンバーである必要があります。 レッドチームのメンバーになるには、さまざまなラウンドを適用してクリアする必要があります。 最初のラウンドはスキル評価であり、その後、面接に招待されます。 その後、身元調査が行われます。 これらのラウンドをクリアすると、レッドチームの一員になることができます。 Bugcrowd、HackerOne などの他の企業で働いている候補者は受け入れません。このリストは、Synack のポリシー自体から確認できます。

最近、Hydra Technology プラットフォームを立ち上げました。 このテクノロジーは、レッドチームの力の倍増として機能します。 Hydra Technology は新しい攻撃領域を探し、そのデータをレッド チームに報告します。 これはレッドチームにとってありがたいことです。 重要なセキュリティ インテリジェンスをより高速に提供します。

その他のバグ報奨金プラットフォームは次のとおりです。

  1. コバルトバグ報奨金
  2. はい、ハッキングします
  3. セーフハット
  4. インティグリティ

あろぎゃせつアプリ

インドでは、バグ報奨金プログラムを実施し、バグや脆弱性を報告したハッカーや研究者に金銭的報酬を提供する企業はほとんどありません。 バグ報奨金プログラムを提供している企業には、PayTM や BigBasket などがあります。

最近、IT 省は「Aarogya Setu – CoVID-19 接触追跡アプリ」をオープン ソースとして宣言し、3000 万ルピーのバグ報奨金スキームを発表しました。 NITI Aayog の CEO である Amitabh Kant 氏は、このアプリはわずか 13 日間で 5,000 万ダウンロードを達成した世界最速のアプリになったと述べています。

インドのソフトウェア企業や組織がバグ報奨金を提供することは知られていませんが、インドのハッカーはバグや脆弱性を大規模に報告しています。

バグハンティングはキャリアの選択肢になり得ますか?

多数のバグ報奨金プログラムが世界中のさまざまなプラットフォームで提供されています。 ハンターの多くは、バグや脆弱性に対する知識と鋭い目だけで、数万ドルまたは数十万ドルを稼いでいます。 これにより、多くの個人がバグ報奨金プログラムに専念し、それをフルタイムのキャリアとして選択するようになりました。

キャリアオプションとしてのハンティングバグ

これは間違いなく、追加の現金を獲得し、PS5 または Xbox を購入する絶好の機会です。 しかし、家族の責任を負う高給の仕事をしている人の場合、フルタイムのキャリアとしてバグハンティングのためにダイビングするべきではありません.

バグを探し出し、脆弱性を報告するには、多くの学習、努力、時間が必要です。 ドキュメントを徹底的に読み、セキュリティに関する記事を読み、レポートを書く練習をする必要があります。 あなたに合った戦略を採用してください。

バグを発見し、文書化し、それを報告するのに十分な努力をしているのに、他のハッカーが数時間前に同じバグを報告したことを知っているだけである場合があります。 サンティアゴ・ロペス アルゼンチンのバグ ハンターは、HackerOne プラットフォームから 100 万ドルを稼ぎました。 彼は、他の誰かが彼よりも早くバグを報告していたら、時間の無駄だったに違いないと言いました。 バグハンティングのフルタイムのキャリアに進む前に、この点を心に留めておく必要があります。

個人的見解

現在、ほとんどのデバイスはスマート デバイスであり、インターネットに接続されています。 企業は、ユーザーのプライバシーとセキュリティを優先しています。 そのため、システムのセキュリティ保護を支援できる人を歓迎することで、脅威の表面を低く抑えたいと考えています。

それでも、その作業に慣れていない場合は、フルタイムのバグ ハンターになるのは得策ではないかもしれません。 メジャーな切り替えを行う前に、バグ ハンターとして 1 ~ 2 年パートタイムで働くことをお勧めします。