Company/Organisation ေတြအတြက္ Bug Bounty ဆုိတာဘာလဲ?

အလြယ္ဆုံးဆုိရရင္ေတာ႔ အဖဲြ႔အစညး္ တစ္ခုမွာ သူ႔ရဲ႕ business ကုိထိခိုက္ေစမဲ႔ Information Technology ပုိင္းဆုိင္ရာ security အားနညး္ခ်က္ေတြကုိရွာေပးျပီး reporting ျပဳလုပ္ေပးတဲ႔သူကုိ appreciation လုပ္တဲ့အေနနဲ႔ reward ေပးတဲ႔သေဘာပါဘဲ။ယေန႔ organization ေတြဟာသူတို႔ရဲ႕security အားနညး္ခ်က္ရွာေဖြတဲ့ေနရာမွာ Information Security Service Firm ေတြနဲ႔တုိင္ပင္ေဆာင္ရြက္တာမ်ိဳးျဖစ္ေစ ယခုလုိ Bug Bounty ေပးတဲ့နည္းလမ္းကုိ အသုံးျပဳျပီးျဖစ္ေစ အထူးအေလးထားေဆာင္ရြက္ေနၾကပါတယ္။ ဘာလုိ႔ဒီလုိလုပ္တဲ႔ အေလ့အထကေကာင္းတာလဲဆုိရင္ တစ္ကယ္လုိ႔ အဲဒီအားနညး္ခ်က္ကေနတစ္ဆင့္ တုိက္ခုိက္မႈခံရမယ္ဆုိရင္ တုိက္ခုိက္ခံရတဲ့ company/organisation ေတြအတြက္အမ်ားၾကီးပုိျပီးနစ္နာေစမွာျဖစ္လုိ႔ အားနညး္ခ်က္ရွိတဲ့ေနရာကုိၾကိဳတင္သိရွိမယ္ဆုိရင္ ၾကိဳတင္ျပင္ဆင္ႏုိင္ျပီး ကာကြယ္ႏုိင္မွာျဖစ္ပါတယ္။ ဥပမာအားျဖင့္ Google, Facebook, Yahoo!, Microsoft စသည့္ companies ၾကီးေတြစသည္ျဖင့္ဒီလုိအေလ့အထကို စတင္ေနတဲ့ organisation ေတြ အမ်ားၾကီးရွိပါတယ္။

Reward ေပးတဲ့ေနရာမွာ cash reward ေပးတာမ်ိဳး swags / အမွတ္တရလက္ေဆာင္/appreciation letter ေတြမ်ိဳးေပးတာမ်ိဳးေတြလည္း ရွိပါတယ္။ဒါေပမယ့္ တင္ျပလုိက္တဲ႔အားနညး္ခ်က္ေတြအကုန္ လုံးကုိ reward ေပးရမွာလားဆုိေတာ႔.. အဲ႔လုိမ်ိဳး ေတာ႔လြယ္လြယ္နဲ႔မေပးၾကပါဘူး အဲ႔အားနညး္ခ်က္ကေနဘယ္ေလာက္ထိခုိက္မႈ ျဖစ္ႏုိင္မလည္း ဘယ္လုိတုိက္ခုိက္မႈမ်ိဳးျဖစ္ႏုိင္မလည္း စသည္ျဖင့္ reporter ရဲ႕ တင္ျပမႈအေပၚမူတည္ျပီး reward ေပးတဲ့ အနည္းအမ်ားကြာသြားပါတယ္။ ဥပမာဆုိရင္ Information Technology ကုိ အမွီျပဳထားတဲ့ Company/Organisation တစ္ခုလုံးရဲ႕ user data ေတြကုိ ဖ်က္ခ်ပစ္ႏိုင္တာမ်ိဳး ျပင္ဆင္နုိင္တာမ်ိဳးစတဲ့ အားနည္းခ်က္မ်ိဳးတင္ျပလာခဲ့လွ်င္ organisation အေနနဲ႔ ထိခုိက္မႈအေတာ္အမ်ားရွိမွာမို႔ တင္ျပလာသူကုိ reward မ်ားစြာေပးတတ္ပါတယ္။ ေနာက္ျပီး usability and security trade-off ရွိတဲ႔အတုိင္းအခ်ိဳ႔ေသာ အားနညး္ခ်က္ေတြကုိေတာ႔ လက္ခံျပီး မျပင္ဘဲထားတာမ်ိဳး တစ္ခ်ိဳ႕ system ေတြကုိ အေၾကာင္းေၾကာင္းေၾကာင့္ testing ထဲမထည့္ေစခ်င္တာေတြလဲရွိပါတယ္။ဒီလုိအခါမ်ိဳးမွာ report လုပ္မဲ႔သူေတြျမင္ေအာင္ ဘယ္အပုိင္း ဘယ္လုိအားနညး္ခ်က္ေတြကေတာ႔ လက္ခံမယ္ လက္မခံဘူးဆုိတာကုိ policy page မွာ ခ်ျပထားလုိ႔ရပါတယ္။

ဒါဆုိ ယခုလုိ report လုပ္ၾကေတာ႔ ဘယ္သူက အဲ႔အားနညး္ခ်က္ေတြကတစ္ကယ္ေကာရွိတာလား တင္ျပမႈေတြက ေသခ်ာမႈရွိရဲ႕လားဆုိျပီး္စစ္ေဆး မွာလဲဆုိေတာ႔ ပုံမွန္အားျဖင္႔ေတာ႔ အဖြဲအစညး္ၾကီးၾကီးမားမားေတြမွာဆုိရင္ internal team ကဘဲအရင္စစ္ၾကတာမ်ားပါတယ္။ အျပင္က တစ္ျခား service ကုိယူရတာမ်ိဳး လဲရွိပါတယ္။ အဲ့ဒါမ်ိဳးကိုေတာ့တစ္ျခား platforms ေတြမွာ managed service ဆိုၿပီး service fees တစ္ခုသတ္မွတ္ျပီး လုပ္ေပးတတ္က်ပါတယ္။ သူတုိ႔ကေန အရင္တင္ျပလာတဲ႔ အားနညး္ခ်က္ေတြကုိတစ္ကယ္ေကာဟုတ္လားမဟုတ္လား စစ္ေပးပါတယ္။သူတို႔ကေနစီစစ္ ျပီးမွ သာ valid ျဖစ္တဲ႔ အားနည္းခ်က္ေတြကုိ customer’s ရဲ႕ internal team ေတြကလက္ခံျပီးျပင္ၾကပါတယ္။

ကၽြန္ေတာ္တုိ႔ bounty village မွာေတာ႔ ကၽြန္ေတာ္တုိ႔ဘာအက်ိဳးအျမတ္မွမၾကည္႔ဘဲ validation service ေပးသလိုသေဘာမ်ိဳး လုပ္ေပးသြားမွာပါ။ ကၽြန္ေတာ္တုိ႔ ရည္ရြယ္ခ်က္ကေတာ႔ local community မွာ security ပုိင္းစိတ္၀င္စားတဲ႔သူေတြရယ္ local အဖြဲ႔အစညး္ ေတြရယ္ကုိခ်ိတ္ဆက္ေပးတာပါဘဲ။ အခိ်န္ကုန္အပင္ပန္းခံျပီး အားနညး္ခ်က္ေတြလုိက္ရွာေပးတဲ႔သူေတြအေနနဲ႔ အသိအမွတ္ျပဳခံရျပီး အပို ၀င္ေငြေလးလဲရႏုိင္မယ္ ဒီက ရရွိတဲ့ appreciation letter ေတြ achievement ေတြနဲ႔ သူတုိ႔ InfoSec Firms ေတြမွာ apply လုပ္တဲ့အခါ proof တစ္ခုအေနနဲ႔ေဖာ္ျပလုိ႔ရႏုိင္မယ္ဆုိရင္ အပင္ပန္းခံရက်ိဳးနပ္ၿပီး motivation လည္းတက္လာလိမ္႔မယ္လုိ႔လဲေမွ်ာ္လင္႔မိပါတယ္။ အဲ႔လုိအားနညး္ခ်က္ေတြလက္ခံရရွိျပီး ျပင္လုိက္တဲ႔ အဖြဲ႔အစည္းေတြအတြက္လဲ ေပးလုိက္ရတ႔ဲ အရာထက္ပုိမုိအက်ိဳး အျမတ္ရွိလိမ္႔မယ္လုိ႔လဲေမွ်ာ္လင္႔ပါတယ္။