Системите BugBounty не са предназначени да карат хората да работят безплатно. Идеята е, че ако някой намери нещо, сам ще докладва на Google, вместо да го запази за себе си или да го продаде на лоши момчета.
Какво е счупена система? Много хора ходят на лов за буболечки без заплащане и първият, който намери нещо, получава голямата награда. За всеки човек, който открие грешка, ще има стотици, които са били близо до нея, но не получават нищо за работата си.
Щом го правят доброволно, нямам нищо против, но не бих посъветвал никого да инвестира време в това.
Спечелването на джакпота в резултат на пробив в сигурността винаги е рисковано. Вътрешен програмист може „случайно“ да създаде сигурност.
Публикувайте проблем и помолете приятел хакер да „намери“ грешката. След това си поделят плячката. Колкото по-висока е наградата, толкова по-вероятен е този сценарий.
Това е така, но този вътрешен програмист също може да направи „грешка“ и да го продаде за много пари на черния пазар. Тези видове награди са там, за да помогнат на хората да направят правилното нещо. Повечето хора изобщо не искат да извършват престъпление и биха се радвали да получат (сравнително) малка сума пари от Google, вместо да се налага да ходят на черния пазар.
Това, което би било много по-добре, е ако беше въведено законодателство, което да държи компаниите отговорни за (последващи) щети, причинени от проблеми със сигурността в приложенията. Ако предотвратяването на проблеми със сигурността е по-евтино от (рисковата) отговорност, тогава компаниите естествено ще обърнат достатъчно внимание на предотвратяването на проблеми със сигурността.
Съгласен, може да отида по-далеч. В момента нямаме добър начин да определим количествено щетите, причинени от проблеми със сигурността. Това е трудно, защото последствията могат да се разпространят с години и са много индиректни. Можете ли да докажете, че вашата компания е била изкормена поради изтичане на парола някъде преди три години? Можете ли да докажете, че сте платили много пари за новата си кола, защото сте били привлечени от реклами? Можете ли да докажете, че сте платили твърде много за застраховката си през целия си живот, защото алгоритъм взема решения въз основа на откраднати (и непроверими) данни? Личните данни струват няколко цента на черния пазар. Това ли е цената? В YouTube плащате над 100 евро на година, за да гледате без реклами, това ли струват вашите данни?
Има риск компаниите да го пазят в тайна, ако бъдат хакнати, и то излиза наяве само когато нещата се объркат напълно. Така че мисля, че е по-добре да се уверите, че имат основателна причина предварително да се грижат за сигурността, например защото техният счетоводител или застрахователна компания ги моли да го направят.
„Удобен за хипстър органайзер. Мислител. Комуникатор. Печелен с награди уеб нинджа. Типичен геймър. Зъл гуру на зомбитата. Фен на бирата.“