ما هي مكافاة الاخطاء (A Bug Bounty)؟
هي مكافأة مالية تُمنح للمخترقين الأخلاقيين(Ethical hackers) لاكتشاف ثغرة أمنية أو خطأ والإبلاغ عنه بنجاح إلى مطور التطبيق و تسمح برامج الـBug Bounty للشركات بالاستفادة من مجتمع القراصنة لتحسين الوضع الأمني لأنظمتهم بمرور الوقت بشكل مستمر.
فالهاكرز في جميع أنحاء العالم يصطادون الأخطاء(bugs)، وفي بعض الحالات يكسبون دخلًا بدوام كامل، حيث تجتذب برامج المكافآت مجموعة واسعة من المتسللين ذوي المهارات والخبرات المتنوعة مما يمنح الشركات ميزة على الاختبارات التي قد تستخدم فريق أمني أقل خبرة لتحديد نقاط الضعف.
غالبًا ما تكمل برامج المكافآت اختبارات الاختراق(penetration testing) المنتظمة وتوفر طريقة للمؤسسات لاختبار أمان تطبيقاتها طوال دورات حياتها التنموية.
كيف يعمل برنامج الـ Bug Bounty؟
يجب على الشركات التي تبدأ برامج المكافآت أولاً تحديد النطاق والميزانية لبرامجها، حيث يحدد النطاق الأنظمة التي يمكن للهاكر اختبارها ويحدد كيفية إجراء الاختبار. على سبيل المثال، تحتفظ بعض المؤسسات بنطاقات معينة محظورة أو تُدرج أن الاختبار لا يسبب أي تأثير على العمليات التجارية اليومية و يتيح لهم ذلك تنفيذ اختبارالأمان دون المساس بالكفاءات التنظيمية الإجمالية والإنتاجية وفي النهاية النتيجة النهائية.
تخبر مكافآت الأخطاء مع مدفوعات تنافسية شركات مجتمع القراصنة انها جادة بشأن الكشف عن نقاط الضعف والأمان، و تستند البرامج إلى مستويات المكافأة على شدة نقاط الضعف، وتزداد المكافآت مع زيادة التأثير المحتمل.
بمجرد أن يكتشف المخترق خطأ ما، يقوم بملء تقرير إفصاح يوضح بالتفصيل ماهية الخطأ بالضبط، وكيف يؤثر على التطبيق، ومستوى الخطورة الذي يصنفه، حيث يتضمن المخترق خطوات وتفاصيل أساسية لمساعدة المطورين على تكرار الخطأ والتحقق من صحته، و بمجرد مراجعة المطورين للخطأ وتأكيده، تدفع الشركة المكافأة للمخترق.
تختلف المدفوعات بناءً على شدتها وتتراوح من بضعة آلاف من الدولارات إلى ملايين الدولارات اعتمادًا على الشركة والتأثير المحتمل للخطأ، حيث سيعطي المطورون الأولوية لتقارير الأخطاء الواردة بناءً على درجة الخطورة ويعملون على حل الخطأ، بعد إصلاح الخلل، يعيد المطورون الاختبار لتأكيد حل المشكلة.
مثال على برنامج الـBug Bounty:
Shopify يوفر خدمات التجارة الإلكترونية لأكثر من نصف مليون شركة على مستوى العالم، مما يجعل الأمن أولوية قصوى لنجاح أعمال Shopify، دفع Shopify أكثر من 1،580،000 دولار من المكافآت للمخترقين ويقدم ما يصل إلى 30،000 دولار للإبلاغ عن نقاط الضعف الحرجة.
في ديسمبر من عام 2020 ، اكتشف أحد المتسللين ثغرة خطيرة سمحت بالوصول غير المصرح به إلى حسابات التاجر و بسبب برنامج الـbug bounty، قام الهاكر بإخطار فريق Shopify الذي يمكنه تصحيح الخطأ في الوقت المناسب في عيشة احتفالات رأس السنة، و هي أحد أكبر أيام التسوق في التجارة الإلكترونية، تمت مكافأة المخترق بمبلغ 15,000 دولار.
م.أمــل عبــدالكــريــم الأصبــحي،،،
