Ble du inspirert av artikkelserien Dusørjegerne som kode24 har publisert det siste året? Det finnes en rekke programmer som tilbyr belønning mot at du finner sårbarheter. Noen store plattformer hvor du kan finne bug bounty-programmer er HackerOne og Intigriti. Høres det litt skummelt ut, kan du alltids stikke innom Tryhackme først.
Det kan til tider være snakk om store summer. Oversikten fra Portswigger over de nyeste bug bounty-programmene for februar 2023, viser at du kan tjene opptil 2.5 millioner dollar for å finne kritiske feil i smarte kontrakter.
Dusørjegeren Dimitrije er ikke fan av automatiserte verktøy: - Jeg bruker MacOS, Burp Suite og hjernen min
Her er noen norske programmer
Men du trenger ikke bare å se til utlandet for å finne feil og attpåtil få betalt for det.
Studert.no har mekket en liten liste over norske bedrifter som har bug bounty-programmer. Flesteparten gir belønning i form av lønn, men ikke alle.
- APSIS (lønna)
- FINN.no (lønna)
- Jobreg.no (referanse)
- Morgenbladet (lønna)
- NBX (lønna)
- NRK.no (referanse)
- Terrahost (lønna)
- Vipps (referanse/ premie)
- Visma (lønna)
- SpareBank 1 Utvikling (lønna)
- Horten kommune (omtale og inntil videre mindre premier. Jobber med å få på plass et betalt program)
For å spre kunnskap om hvordan man kan implementere en varslingskanal for sårbarheter, særlig i det offentlige, har Kovert satt opp nettsiden securitytxt.no.
Her vil selskapet synliggjøre hvordan man kan adopterte RFC9116, som er en ny standardisert metode for å informere om hvordan en organisasjon kan kontaktes for å rapportere sårbarheter til dem.
PS: Vet du om noen norske programmer som ikke er på lista, er det bare å sende meg en e-post.
