تتيح مكافآت الأخطاء للأشخاص الذين يكتشفون ثغرات أمنية في برامج الكمبيوتر والخدمات الحصول على مكافأة مالية. إذن، ما الذي يتطلبه الأمر لكي تصبح صائد مكافآت الأخطاء، وهل يمكنك كسب لقمة العيش من خلال القيام بذلك؟
ما هي برامج مكافأة الأخطاء؟
إن البرامج والخدمات التي نستخدمها كل يوم يكتبها بشر تحت ضغط كبير لإنجاز أكوادهم وتشغيلها حتى تتمكن الشركة من جني الأموال. وفي حين أن أساليب تطوير البرامج الحديثة تؤدي إلى إنتاج برامج بها عدد قليل للغاية من المشكلات الخطيرة، فلا توجد وسيلة لمجموعة صغيرة من المطورين لتوقع كل الاحتمالات أو ملاحظة كل خطأ.
قارن هذا بجيش القراصنة الذين يبحثون عن كل ثغرة محتملة في درع هذا الكود، ومن الواضح لماذا تعد برامج مكافأة الأخطاء ضرورية. تقدم هذه البرامج مكافأة للأشخاص الذين يكتشفون ثغرة موثوقة أو نوعًا مؤهلًا آخر من المشكلات في التطبيقات والخدمات المقدمة.
من يحق له المطالبة بمكافآت الأخطاء؟
من حيث المبدأ، لا يهم من يكتشف ثغرة أمنية أو استغلالاً. المهم هو أن تعرف الشركة ذلك وتعمل على إصلاح المشكلة قبل أن تؤدي إلى أضرار حقيقية. في الممارسة العملية، غالبًا ما يطالب الباحثون الأمنيون المحترفون بمكافآت اكتشاف الأخطاء. هؤلاء متخصصون يحاولون عمدًا العثور على نقاط ضعف في الأنظمة ويحصلون إما على مكافآت مدفوعة أو مقدمًا لإجراء “اختبار اختراق” للشركة.
هذا لا يعني أنه لا يمكنك الإبلاغ عن مشكلة إذا وجدتها، ولكنك بحاجة إلى البحث عن متطلبات الإرسال ومعرفة ما إذا كانت لديك المعلومات الفنية اللازمة للإبلاغ عن المشكلة.
برامج مكافأة الأخطاء ليست كلها متشابهة
تختلف عملية المطالبة بمكافأة الأخطاء وما يؤهلك للحصول على الدفع من برنامج إلى آخر. تحدد الشركة المعنية القواعد لما تعتبره مشكلة تستحق الدفع مقابل معرفتها. كما ستحدد التنسيق المناسب للإبلاغ عن هذه المشكلة، إلى جانب كل الأشياء التي تحتاج إلى معرفتها لتكرار المشكلة والتحقق منها.
تختلف أيضًا قيمة التقرير الذي تم التحقق منه. بعض الشركات ضخمة، ولديها ميزانيات ضخمة للأمن. والبعض الآخر عبارة عن شركات صغيرة أو شركات ناشئة تعتمد على برامج مكافأة الأخطاء لتعويض عدد موظفي الأمن السيبراني الدائمين الصغار نسبيًا. في هذه الحالة، قد تكون المكافآت أكثر تواضعًا.
أين تجد برامج مكافأة الأخطاء
أول مكان يمكنك التحقق منه إذا صادفت ثغرة أمنية قابلة للإبلاغ عنها هو موقع الشركة التي تصنع المنتج أو تقدم الخدمة المعنية. وعادةً ما تكون الشركات الكبيرة فقط هي التي تدير برامج مكافأة الأخطاء الخاصة بها.
من المرجح أن تستخدم الشركات الصغيرة خدمات مكافأة الأخطاء المتخصصة. على سبيل المثال، قائمة برامج مكافأة الأخطاء الخاصة بـ HackerOne يعمل على الترويج لبرامج الشركات المختلفة التي يتم إدارتها من خلال الموقع.
ما هو المبلغ الذي تدفعه مكافآت الأخطاء؟
إذا قمت بزيارة قائمة مكافآت الأخطاء الخاصة ببرنامج HackerOne الموضحة أعلاه، فربما لاحظت أن كل برنامج يسرد حدًا أدنى لمبلغ المكافأة. إذا قمت بفتح أحد البرامج، فستشاهد إحصائيات حول متوسط مبلغ المكافأة بالإضافة إلى مستويات المكافأة، اعتمادًا على شدة الثغرة الأمنية.
يمكن أن تحقق المشاكل منخفضة ومتوسطة وعالية الخطورة أرباحًا تتراوح بين بضع مئات إلى آلاف الدولارات، في حين يمكن أن تحقق الثغرات الحرجة أرباحًا تصل إلى عدة آلاف من الدولارات.
لقد كانت هناك بعض الحقيقة مكافآت مذهلة تم دفعها على مر السنين و عروض ضخمةولكن هذه البرامج تشبه إلى حد ما الفوز باليانصيب. إذ يتعين عليك أن تكون الشخص الذي يصادف ثغرة أمنية نادرة الحدوث، ويتعين عليك أن تكون في نظام أحد اللاعبين الكبار الذي يملك هذا النوع من المال. وإذا كنت ترغب في كسب لقمة العيش من مكافآت الأخطاء، فمن المرجح أن تحصل على دخل ثابت من الأخطاء الصغيرة الشائعة التي تظهر من خلال اختبار الاختراق المنهجي.