what is a bug bounty program?

Bug bounty प्रोग्राम कई वेबसाइटों, संगठनों और सॉफ्टवेयर डेवलपर्स द्वारा पेश किया जाने वाला एक सौदा है, जिसके द्वारा व्यक्ति बग की रिपोर्टिंग के लिए मान्यता और क्षतिपूर्ति प्राप्त कर सकते हैं , जो विशेष रूप से सुरक्षा कारनामों और कमजोरियों से संबंधित हैं।

ये कार्यक्रम डेवलपर्स को बग की खोज करने और उन्हें हल करने की अनुमति देते हैं इससे पहले कि आम जनता उनके बारे में जागरूक हो, व्यापक दुर्व्यवहार की घटनाओं को रोक सकती है। बग बाउंटी कार्यक्रमों को बड़ी संख्या में संगठनों ने लागू किया है, जिनमें mozila,  facebook, yahho !,  गूगल, [६] रेडिट, [Square] स्क्वायर, [Microsoft] माइक्रोसॉफ्ट शामिल हैं। और इंटरनेट बग बाउंटी 

संयुक्त राज्य अमेरिका के रक्षा विभाग जैसे पारंपरिक रूढ़िवादी संगठनों सहित प्रौद्योगिकी उद्योग के बाहर की कंपनियों ने बग बाउंटी कार्यक्रमों का उपयोग करना शुरू कर दिया है। बग बाउंटी कार्यक्रमों का पेंटागन का उपयोग एक आसन बदलाव का हिस्सा है, जिसने कई अमेरिकी सरकारी एजेंसियों को सफेद टोपी हैकरों को कानूनी सहारा के साथ धमकी देने से दूर करने के लिए एक व्यापक भेद्यता प्रकटीकरण रूपरेखा या नीति के भाग के रूप में आमंत्रित करने के लिए देखा है। 

History of bug bounty

हंटर और रेडी ने अपने वर्सटाइल रियल-टाइम एक्जीक्यूटिव ऑपरेटिंग सिस्टम के लिए 1983 में पहले ज्ञात बग बाउंटी प्रोग्राम की शुरुआत की। बग को खोजने और रिपोर्ट करने वाले को बदले में वोक्सवैगन बीटल (a.k.a. बग) प्राप्त होगा।

1995 में एक दशक से भी कम समय बाद, नेटस्केप कम्युनिकेशंस कॉर्पोरेशन के एक तकनीकी सहायता इंजीनियर जेरेट रिडलिंगफर ने 'बग्स बाउंटी' वाक्यांश को गढ़ा।

नेटस्केप ने अपने कर्मचारियों को खुद को आगे बढ़ाने और काम करने के लिए जो कुछ भी करने के लिए प्रेरित किया, उसे प्रोत्साहित किया। Ridlinghafer ने माना कि नेटस्केप के कई उत्पाद उत्साही और प्रचारक थे, जिनमें से कुछ को नेटस्केप के ब्राउज़रों के बारे में कट्टर भी माना जा सकता है।

उन्होंने इस घटना की अधिक विस्तार से जांच शुरू की और पता चला कि नेटस्केप के कई उत्साही लोग वास्तव में सॉफ्टवेयर इंजीनियर थे जो उत्पाद के कीड़े को अपने आप ठीक कर रहे थे और फिक्स या वर्कअराउंड को प्रकाशित कर रहे थे, या तो ऑनलाइन समाचार मंचों में जो कि नेटस्केप के तकनीकी समर्थन द्वारा स्थापित किए गए थे। विभाग, या अनौपचारिक "नेटस्केप यू-एफएक्यू" वेबसाइट पर, जिसने ब्राउज़र के सभी ज्ञात बगों और विशेषताओं को सूचीबद्ध किया, साथ ही साथ वर्कअराउंड और फिक्स के बारे में निर्देश दिए।

रिड्लिफ़्फ़र ने सोचा कि कंपनी को इन संसाधनों का लाभ उठाना चाहिए और 'नेटस्केप बग बाउंटी प्रोग्राम' का प्रस्ताव देना चाहिए, जो उसने अपने प्रबंधक को प्रस्तुत किया, जिसने बदले में सुझाव दिया कि रिड्लिफ़्फ़र इसे अगली कंपनी की कार्यकारी टीम की बैठक में प्रस्तुत करें। अगली कार्यकारी टीम की बैठक में, जिसमें जेम्स बार्क्सडेल, मार्क आंद्रेसेन और उत्पाद इंजीनियरिंग सहित हर विभाग के वीपी ने भाग लिया, प्रत्येक सदस्य को 'नेटस्केप बग बाउंटी प्रोग्राम' के प्रस्ताव की एक प्रति दी गई और रिडलिंगफर को अपना विचार प्रस्तुत करने के लिए आमंत्रित किया गया। नेटस्केप कार्यकारी टीम। बैठक में सभी ने इंजीनियरिंग के वीपी को छोड़कर इस विचार को अपनाया, जो नहीं चाहते थे कि यह समय और संसाधनों की बर्बादी मानते हुए आगे बढ़े। हालांकि, इंजीनियरिंग के वीपी को खारिज कर दिया गया था और रिडलिंगफर को प्रस्ताव के साथ चलने के लिए शुरुआती $ 50k बजट दिया गया था।

10 अक्टूबर 1995 को नेटस्केप ने नेटस्केप नेविगेटर 2.0 बीटा ब्राउज़र के लिए पहला प्रौद्योगिकी बग बाउंटी प्रोग्राम लॉन्च किया।

भेद्यता प्रकटीकरण नीति विवाद

अगस्त 2013 में, एक फिलिस्तीनी कंप्यूटर विज्ञान के छात्र ने एक भेद्यता की सूचना दी जिसने किसी को मनमाने फेसबुक अकाउंट पर वीडियो पोस्ट करने की अनुमति दी। छात्र और फेसबुक के बीच ईमेल संचार के अनुसार, उसने फेसबुक के बग बाउंटी प्रोग्राम का उपयोग करके भेद्यता की रिपोर्ट करने का प्रयास किया, लेकिन छात्र को फेसबुक के इंजीनियरों द्वारा गलत समझा गया। बाद में उन्होंने मार्क जुकरबर्ग के फेसबुक प्रोफाइल का उपयोग करके भेद्यता का शोषण किया, जिसके परिणामस्वरूप फेसबुक ने उन्हें एक इनाम देने से इनकार कर दिया। [१ vulner]

एक फेसबुक "व्हाइट हैट" डेबिट कार्ड, शोधकर्ताओं को दिया गया जो सुरक्षा बग की रिपोर्ट करते हैं

फेसबुक ने शोधकर्ताओं को भुगतान करना शुरू कर दिया, जो सुरक्षा कीड़े को रिपोर्ट करते हैं और उन्हें कस्टम ब्रांडेड "व्हाइट हैट" डेबिट कार्ड जारी करते हैं जिन्हें हर बार शोधकर्ताओं द्वारा नई खामियों का पता लगाने के बाद धन के साथ लोड किया जा सकता है। फेसबुक की सुरक्षा प्रतिक्रिया टीम के पूर्व प्रबंधक रयान मैकगीहान ने एक साक्षात्कार में सीएनटी को बताया, "जो शोधकर्ता बग और सुरक्षा सुधार पाते हैं, वे दुर्लभ हैं, और हमें उन्हें पुरस्कृत करने के तरीके खोजने हैं।" “यह अनन्य ब्लैक कार्ड होने से उन्हें पहचानने का एक और तरीका है। वे एक सम्मेलन में दिखा सकते हैं और इस कार्ड को दिखा सकते हैं और कह सकते हैं कि ’मैंने फेसबुक के लिए विशेष काम किया है। '' [18] 2014 में, फेसबुक ने शोधकर्ताओं को डेबिट कार्ड जारी करना बंद कर दिया।

2016 में, उबेर ने एक सुरक्षा घटना का अनुभव किया जब एक व्यक्ति ने दुनिया भर में 57 मिलियन उबर उपयोगकर्ताओं की व्यक्तिगत जानकारी तक पहुंच बनाई। व्यक्तिगत रूप से उपयोगकर्ताओं के डेटा को नष्ट करने के लिए $ 100,000 की फिरौती की मांग की गई थी। कांग्रेस की गवाही में, उबेर CISO ने संकेत दिया कि कंपनी ने सत्यापित किया कि $ 100,000 का भुगतान करने से पहले डेटा नष्ट हो गया था। [१ ९] श्री फ्लिन ने खेद व्यक्त किया कि 2016 में उबेर ने घटना का खुलासा नहीं किया था। इस घटना पर उनकी प्रतिक्रिया के हिस्से के रूप में, उबेर ने अन्य चीजों के साथ, अपने बग बाउंटी प्रोग्राम नीतियों को अपडेट करने के लिए, HackerOne के साथ काम किया। प्रकटीकरण। [20]

याहू! याहू भेजने के लिए बहुत आलोचना की गई थी! याहू में सुरक्षा कमजोरियों को खोजने और रिपोर्ट करने के लिए सुरक्षा शोधकर्ताओं को इनाम के रूप में टी-शर्ट !, जिसे टी-शर्ट-गेट कहा जाता है, उसे स्पार्क करना। [२१] हाई-टेक ब्रिज, एक जिनेवा, स्विट्जरलैंड स्थित सुरक्षा परीक्षण कंपनी ने एक प्रेस विज्ञप्ति जारी कर कहा कि याहू! प्रति भेद्यता में $ 12.50 क्रेडिट की पेशकश की, जिसका उपयोग याहू-ब्रांडेड वस्तुओं जैसे टी-शर्ट, कप और पेन से अपने स्टोर से किया जा सकता है। याहू की सुरक्षा टीम के निदेशक रामसेस मार्टिनेज़ ने बाद में एक ब्लॉग पोस्ट [22] में दावा किया कि वह वाउचर रिवार्ड प्रोग्राम के पीछे थे, और वह मूल रूप से अपनी जेब से उनके लिए भुगतान कर रहे थे। आखिरकार, याहू! उसी वर्ष के 31 अक्टूबर को अपना नया बग बाउंटी कार्यक्रम शुरू किया, जो सुरक्षा शोधकर्ताओं को बग की खोज करने और बग की खोज की गंभीरता के आधार पर $ 250 और $ 15,000 के बीच पुरस्कार प्राप्त करने की अनुमति देता है। [23]

इसी तरह, जब इक्वा ने 2013 में ICS के लिए पहला ज्ञात बग बाउंटी प्रोग्राम जारी किया, [24] [२५] उन्हें नकद के बजाय स्टोर क्रेडिट की पेशकश करने के लिए आलोचना की गई जो सुरक्षा शोधकर्ताओं को प्रोत्साहित नहीं करती है। [२६] एक्वा ने बताया कि कार्यक्रम को शुरू में प्रतिबंधित करने का इरादा था और इंटेगैक्सर एससीडीएए के उपयोगकर्ताओं के लिए उनके आईसीएस सॉफ्टवेयर के मानवीय सुरक्षा के दृष्टिकोण पर ध्यान केंद्रित किया गया था। [२४] [२५]

Geographical stracture of bug bounty

हालांकि बग बाउंटी के लिए प्रस्तुतियाँ कई देशों से आती हैं, लेकिन मुट्ठी भर देशों में अधिक बग जमा करने और अधिक बाउंस प्राप्त करने की प्रवृत्ति है। संयुक्त राज्य अमेरिका और भारत शीर्ष देश हैं जहाँ से शोधार्थी बग प्रस्तुत करते हैं। [२ are] भारत, जिसके पास दुनिया में बग हंटर्स की पहली या दूसरी सबसे बड़ी संख्या है, जिसके आधार पर एक रिपोर्ट में उद्धृत किया गया है, [28] वैध बगों की सबसे बड़ी संख्या के साथ फेसबुक बग बाउंटी प्रोग्राम में सबसे ऊपर है। [२ ९] फेसबुक ने एक पोस्ट में कहा, "भारत 2017 में वैध सबमिशन की संख्या के साथ क्रमशः दूसरे और तीसरे स्थान पर संयुक्त राज्य अमेरिका और त्रिनिदाद और टोबैगो के साथ शीर्ष पर रहा।" [30]

उल्लेखनीय कार्यक्रम

अक्टूबर 2013 में, Google ने अपने भेद्यता पुरस्कार कार्यक्रम में एक बड़े बदलाव की घोषणा की। पहले, यह कई Google उत्पादों को कवर करने वाला एक बग बाउंटी प्रोग्राम था। शिफ्ट के साथ, हालांकि, कार्यक्रम को व्यापक रूप से उच्च-जोखिम मुक्त सॉफ्टवेयर अनुप्रयोगों और पुस्तकालयों के चयन में शामिल किया गया था, जो मुख्य रूप से नेटवर्किंग के लिए या निम्न-स्तरीय ऑपरेटिंग सिस्टम कार्यक्षमता के लिए डिज़ाइन किए गए थे। दिशानिर्देशों के अनुरुप Google ने पाया कि $ 500 से $ 3133.70 तक के पुरस्कार के लिए पात्र होंगे। [३१] [३२] 2017 में, Google ने तीसरे पक्ष द्वारा विकसित अनुप्रयोगों में पाई गई कमजोरियों को कवर करने के लिए अपने कार्यक्रम का विस्तार किया और Google Play Store के माध्यम से उपलब्ध कराया। [33] Google की भेद्यता पुरस्कार कार्यक्रम में अब Google, Google क्लाउड, एंड्रॉइड और क्रोम उत्पादों में पाई जाने वाली कमजोरियां शामिल हैं, और $ 31,337 तक का पुरस्कार मिलता है। [34]

माइक्रोसॉफ्ट और फेसबुक ने नवंबर 2013 में इंटरनेट बग बाउंटी को प्रायोजित करने के लिए भागीदारी की, जो इंटरनेट से संबंधित सॉफ्टवेयर की एक विस्तृत श्रृंखला के लिए हैकिंग और कारनामों के लिए पुरस्कार प्रदान करने का कार्यक्रम है। [35] 2017 में, GitHub और The Ford Foundation ने पहल को प्रायोजित किया, जिसे Uber, Microsoft, Facebook, Adobe, HackerOne, GitHub, NCC Group और सिग्नल साइंसेज के स्वयंसेवकों द्वारा प्रबंधित किया जाता है। [36] IBB द्वारा कवर किए गए सॉफ्टवेयर में Adobe Flash, Python, Ruby, PHP, Django, Ruby on Rails, Perl, OpenSSL, Nginx, Apache HTTP Server और Phabricator शामिल हैं। इसके अलावा, कार्यक्रम ने व्यापक रूप से उपयोग किए जाने वाले ऑपरेटिंग सिस्टम और वेब ब्राउज़र, साथ ही साथ इंटरनेट को पूरी तरह से प्रभावित करने वाले व्यापक कारनामों के लिए पुरस्कारों की पेशकश की।

मार्च 2016 में, पीटर कुक ने अमेरिकी संघीय सरकार के पहले बग बाउंटी कार्यक्रम, "हैक द पेंटागन" कार्यक्रम की घोषणा की। [38] कार्यक्रम 18 अप्रैल से 12 मई तक चला और 1,400 से अधिक लोगों ने HackerOne के माध्यम से 138 अद्वितीय वैध रिपोर्ट प्रस्तुत की। कुल मिलाकर, अमेरिकी रक्षा विभाग ने $ 71,200 का भुगतान किया। [39]

2019 में, यूरोपीय आयोग ने लोकप्रिय ओपन सोर्स परियोजनाओं के लिए ईयू-एफओएसएसए 2 बग बाउंटी पहल की घोषणा की, जिसमें ड्रुपल, अपाचे टोमैट, वीएलसी, 7-ज़िप और कीपस शामिल हैं। इस परियोजना को यूरोपीय बग बाउंटी प्लेटफॉर्म इंटिग्री और हैकरऑन द्वारा सह-सुविधा प्रदान की गई थी और इसके परिणामस्वरूप कुल 195 अद्वितीय और वैध कमजोरियाँ आईं। [40]

ओपन बग बाउंटी एक भीड़ सुरक्षा बग बाउंटी कार्यक्रम है जो 2014 में स्थापित किया गया था जो प्रभावित वेबसाइट ऑपरेटरों से इनाम की उम्मीद में व्यक्तियों को वेबसाइट और वेब एप्लिकेशन सुरक्षा कमजोरियों को पोस्ट करने की अनुमति देता है।