سام كاري ، طالب يبلغ من العمر 18 عامًا في مدينة لينكولن بولاية نبراسكا ، كان مهووسًا بأجهزة الكمبيوتر منذ صغره ، ولكن هوايته لم تكن دائمًا فكرة بناءة.

كطالب في السنة الثانية في المدرسة الثانوية ، واجه مشاكل في اختراق حواسيب مدرسته. وجد طريقة في النظام الذي سمح له بالتقدم كمسؤول. وقال إنه كان بإمكانه تغيير الدرجات الدراسية أو حدوث ضرر حقيقي ، لكنه أراد فقط الدخول إلى الشبكة كمزحة. لم يتم إرضاء مديري المدارس وتعليقه لمدة أسبوعين.

في المرة التالية التي وجد فيها ثغرة أمنية ، بدلاً من استغلالها ، أبلغها إلى إدارة المدرسة الثانوية. أعطوه بطاقة هدية بقيمة 50 $ إلى مطعم Subway للوجبات السريعة كمكافأة. وقال: “هذه هي المرة الأولى التي أدرك فيها أن هناك منفذًا إيجابيًا لهذا العمل ، وربما يمكنني الحصول على أموال مقابل ذلك”. حول مهاراته في الترميز إلى قرصنة “القبعة البيضاء”. وهذا هو ، أنظمة القرصنة لحماية الشركات ، وليس تعرضها.

منذ ذلك الحين ، قام كاري بأكثر من 100000 دولار من المؤسسات البارزة ذات المستوى القانوني

بما في ذلك وزارة الدفاع الأمريكية ، وشركة ألعاب الفيديو Valve و Yahoo. وهو واحد من عدد متزايد من المتسللين الذين يستفيدون من “مكافآت الشوائب” – وهي مكافآت مالية تدفعها المنظمات للقراصنة من أجل كشف نقاط الضعف في أنظمتها.

هذا النوع من الاختبارات الأمنية المتعسفة المصدر “يقترب بسرعة من الكتلة الحرجة” وفقًا لتقرير صدر في يونيو 2018 من شركة الأبحاث الصناعية غارتنر. أصبح الأمر شائعًا لدرجة أنه من المعتاد جدًا أن تشارك الشركات في هذه البرامج ومن المتوقع أن تستمر في النمو.

وقال ريك موي رئيس التسويق في شركة أمن الكمبيوتر أكالفيو تكنولوجيز إن عدد نقاط الضعف في البرامج والأجهزة والأجهزة المتصلة في ازدياد. وقال: “إن الاستعانة بمساعدة المتسللين ذوي القبعات البيضاء في اكتشافهم قبل أن يصبح الأشرار منطقيين”. “هذا الاتجاه يكتسب زخما وشرعية مع شركات القطاع الخاص والقطاع العام الكبيرة القادمة على متن الطائرة.”

يمكن أن يتسبب اختراق واحد  مثل كاري في دفع مبلغ 250 ألف دولاركاري

تقدم شركات مثل Google و Apple ما يصل إلى 200000 دولار أمريكي كمكافأة لاختراق واحد. تقدم Intel و Microsoft ما يصل إلى 250،000 دولار. أطلقت شركة مايكروسوفت برنامج مكافآت الأخطاء الإضافية خصيصًا لخدمات الهوية يوم الأربعاء الماضي مع دفعات تتراوح من 500 إلى 100000 دولار.

متوسط ​​العائد لتحويل الثغرة الأمنية إلى برنامج مكافأة القراصنة ذوي القبعات البيضاء هو 2000 دولار وفقاً لدراسة أجرتها شركة HackerOne ، وهي شركة متخصصة في الأمن السيبراني تعمل بالطاقة ، والتي تسمح للشركات بإدراج مشاريع القرصنة التي يحتاجها الأشخاص للحصول على مكافآت نقدية.

يستخدم Curry HackerOne للعثور على أجهزة الكمبيوتر الخاصة به. وهناك شركات أخرى مثل SynAck و BugCrowd تتمتع أيضًا بمواهب القرصنة من مصادر مزدحمة. وقد حقق كاري أكثر من 12000 دولار ، والذي استخدمه لشراء سيارة تويوتا كورولا 2014 الرياضية. الآن ، يعمل في مشاريع المكافآت منذ حوالي 20 ساعة كل أسبوع ، ويعمل في الغالب من الساعة 9 مساءً إلى 2 صباحًا بعد انتهاء اليوم الدراسي.

وقال: “إنها أكثر صعوبة في العمل بدوام كامل من العمل بدوام كامل”. “لا أظن أنه من الجيد أن يكون صائدًا مكاسب الخمور لمدة 40 أو 50 ساعة أسبوعيًا لأنك تفقد هذا الإحساس بالإبداع والموضوعية التي تساعدك”.

تستضيف HackerOne برامج المكافآت لـ Uber (التي تدفع متوسط ​​مكافأة قدرها 500 دولار لكل قرص) Snapchat و Yahoo و Sony و Spotify وستاربكس ووزارة الدفاع الأمريكية.

“لا بد من تسطيح نقاط الضعف أمام خصومنا لاستغلالها”

غالبًا ما يكون منح الهاكرز واحدًا في كل مرة أقل تكلفة من توظيف باحثين إضافيين في مجال الأمن بدوام كامل.

ويقول كريس موراليس ، رئيس قسم التحليلات الأمنية في شركة “فيكترا”

لتحليل التهديدات الإلكترونية ، إنه يحفز أيضاً المتسللين على الإنترنت على تحويل أبحاثهم عبر الإنترنت عبر وسيلة مشروعة بدلاً من بيع المتطفلين

على الشبكة المظلمة إلى المجرمين الإلكترونيين والمجرمين الإلكترونيين في الدولة القومية.

وقال: “يمكن للشركات التي تستضيف برامج مكافآت الأخطاء

أن تحل المشاكل قبل أن تصبح معروفة ومُستغلة

على نطاق واسع”. “في النهاية ، تحتاج شركة البرمجيات إلى اتخاذ قرار بناء مقابل الشراء.

هل يريدون تشغيل برنامج مكافآت الأخطاء

بمفردهم أو هل يمكنهم الاستفادة من طرف ثالث يدير أحدهم؟

وقال كريس نيمز ، كبير ضباط أمن المعلومات ، إنه بالنسبة لشركة Oath ، وهي

شركة إعلامية رقمية تملكها شركة Verizon ، أصبح برنامج مكافأة القبعات البيضاء

جزءًا لا يتجزأ من برنامجها الأمني ​​الأكبر. “إن تسطيح نقاط الضعف وحلها قبل أن يتمكن أعداؤنا من استغلالها أمر ضروري لمساعدتنا في بناء العلامات التجارية

التي يحبها الناس

ويثقون بها” ، على حد قوله. في نيسان / أبريل ، استضافت

الشركة نوعًا من هاكاثون ، حيث منحت اختصاصيي

الأمن القبعات البيضاء أكثر من 400000 دولار في يوم واحد للعثور على نقاط الضعف في أنظمتها.

غطت اوبر مبلغ 100000 دولار كدفعة مقدمة

لم تكن برامج مكافآت الأخطاء خالية من الجدل:

في نوفمبر 2017 ، كشف الرئيس التنفيذي لشركة Uber

أن الشركة اضطرت إلى دفع مبلغ 100000 دولار من القراصنة يبلغ من العمر

20 عامًا بعد أن اكتشف خرقًا لرسائل البريد الإلكتروني وبيانات أخرى من العملاء

بلغت 57 مليونًا. أقصى مبلغ دفع لأقرصات Uber البيضاء

في ذلك الوقت كان 10،000 $. الرئيس التنفيذي لشركة

Dara Khosrowshahi قال في نوفمبر / تشرين الثاني إن Uber wa

المرصد الرقمى