كانت أول شركات التقنية التي تقدم مكافآت مقابل الثغرات الأمنية التي يتم اكتشافها في أنظمتها هي شركات صانعي متصفحات الويب، حيث يتم تقديم مكافآت مالية ومعنوية للمتسللين الذين يجدون نقاط ضعف في التعليمات البرمجية، والبداية كانت من شركة Netscape في عام 1995 وفعلت موزيلا نفس الشيء في عام 2004.
الهدف من هذه المكافآت هو حث القراصنة (الأخلاقيين منهم) على إخبار الشركة بنقاط الضعف في برامجها وتطبيقاتها قبل أن تصبح نقاط الضعف هذه معروفة للجميع، وبالتالي يتم استغلالها من القراصنة الذين يبحثون عن التخريب وسرقة البيانات. ويعتبر هذا الأمر فوز للطرفين فهي وسيلة لمنع القراصنة أصحاب الأجندات الخفية من استغلال نقاط ضعف البرامج والتطبيقات، وذلك من خلال توظيف القراصنة للمساعدة في تعزيز امأن هذه التطبيقات والبرامج.
ميدان منافسة يجذب القراصنة
في السنوات الأخيرة، أصبحت المنافسة للحصول على المكافآت من الشركات الكبرى مثل جوجل وفيسبوك ومايكروسوفت ميدان حامي الوطيس للقراصنة الذين ينشدون الحصول على المكافآت المالية من هذه الشركات، لأنها عادةً ما تقدم مبالغ كبيرة.
ولاحقًا انضمت العديدة من الشركات التي ظهرت في الفترة الأخيرة مثل Tesla و Yelpو Reddit و Squareو Password 1 و Pinterest و ،Uber التي أصبحت تقدم العديد من المكافآت المغرية التي أصبحت لا تشمل فقط مبالغ مالية، بل في بعض الأحيان يتعدى الأمر للحصول على وظيفة بدوام كامل.
ولكن المكافآت مقابل إكتشاف الثغرات الأمنية أصبحت لا تقتصر على شركات التكنولوجيا وحدها، بل حتى المؤسسات المالية والرعاية الصحية والجهات الحكومية التي لديها برامج حاسوبية وتطبيقات على الانترنت، توحهت لهذا المجال من خلال تقديم المكافآت لقراصنة مستقلين للبقاء آمنين واكتشاف الاختراق الرئيسي التالي.
وأصبحت المكافآت التي تقدم من اجل اكتشاف الثغرات الأمنية أمرًا شائعًا لدرجة أن وسطاء الطرف الثالث مثل BugCrowd و HackerOne موجودون لربط القراصنة بأموال المكافآت. وكما هو مفصل في تقرير Hacker، فقد دفعت الشركة أكثر من 23 مليون دولار إلى المتسللين البالغ عددهم 166,000 في شبكتها وحدها، والذين قاموا باكتشاف أكثر من 72,000 نقطة ضعف في البرامج والتطبيقات المختلفة.
بطبيعة الحال، هناك أيضا بعض السلبيات، فبعض الشركات مثل Exodus Intelligence تقدم مكافآت أعلى من الشركات الكبيرة، ثم تبيع اشتراكًا للشركات التي تتضمن المعلومات هذه. وهذا ليس بالأمر السيئ بالضرورة، فمن المهم العثور على نقاط الضعف في البرامج والتطبيقات المختلفة قبل أن تنتشر ويتم استغلالها بشكل سيء.
في السطور التالية سنلقي نظرة على أكبر المكافآت التي تم تقديمها للقراصنة مقابل جهودهم في إكتشاف الثغرات الأمنية في البرامج والتطبيقات المختلفة.