Пионер в области программ bug bounty, платформа Zero-Day Initiative, в этом году отмечает 15-летний юбилей. В честь этой знаковой даты, специалисты ZDI поделились интересной статистикой.
Эксперты рассказали, что за прошедшие пятнадцать лет Zero-Day Initiative выплатила вознаграждения более чем 10 000 ИБ-исследователям, получив от них свыше 7500 сообщений о различных ошибках. Суммарно эти выплаты уже превышают 25 000 000 долларов США.
Большинство уязвимостей было зарегистрировано через саму bug bounty платформу ZDI, независящую от конкретных поставщиков, но информация о многих багах также была получена от участников Pwn2Own, ежегодного хакерского соревнования, который организует ZDI.
Zero-Day Initiative была основана в 2005 году и начиналась как специальный проект внутри компании 3Com. Тогда ZDI использовалась для материального поощрения исследователей, чтобы вознаграждать их за обнаружение уязвимостей в популярном ПО. Пятнадцать лет назад эта была поистине новаторская концепция, ведь в то время у компаний еще не было собственных доступных bug bounty программ. Из-за этого исследователям приходилось связываться с отделом безопасности в каждой отдельной компании и сообщать об уязвимостях, не ожидая в ответ какого-то денежного вознаграждения. Все это занимало немало времени, баги зачастую так и оставались неисправленными, а обнаружившие ошибки эксперты нередко получали юридические угрозы вместо благодарности.
В сущности, Zero-Day Initiative стала первой, кто сумел построить рабочую бизнес-модель на основе своей bug bounty платформы. ZDI наконец позволила исследователям получать деньги за свой труд, а также делегировать профессионалам процесс уведомления разработчиков об уязвимостях, что помогало избежать судебных исков.
При этом материнская компания Zero-Day Initiative, 3Com, получала от программы прибыль, так как инженеры 3Com регулярно включали полученные отчеты об уязвимостях в TippingPoint — защитное решение, которое предоставляло защиту от эксплоитов и зачастую опережало конкурентов на несколько месяцев. В настоящее время ZDI принадлежит компании Trend Micro, которая в 2015 году приобрела TippingPoint.
Сейчас Zero-Day Initiative является наиболее успешной bug bounty платформой, а также не раз была признана ведущей организацией по исследованию уязвимостей. К примеру, согласно недавно опубликованному отчету компании Omdia, именно ZDI поспособствовала раскрытию более половины всех уязвимостей в 2019 году, и это гораздо больше, чем у любого другого вендора или платформы.