تريد الحصول على جائزة مليون دولار؟ اختراق سامسونج قد يحقق لك ذلك
⬤ أعلنت شركة سامسونج عن مكافأة قدرها مليون دولار أمريكي لمن يستطيع اختراق ميزة Knox Vault بنجاح تام.
⬤ يجب على المخترقين الالتزام بشروط معينة وتقديم التقرير عبر القنوات الرسمية للحصول على الجائزة المجزية.
⬤ منذ عام 2017، أنفقت سامسونج أكثر من 5 مليون دولار على جوائز المخترقين للإبلاغ عن الثغرات في أنظمتها.
حالها كحال العديد من شركات التقنية الكبرى، تضع سامسونج أمان المستخدم وحماية هاتفه في منزلة مرتفعة من حيث الأهمية. لذا، لديها برنامج مكافآت اختراق خاص بغية تحفيز ألمع عقول الحماية والاختراق من كل الفئات على محاولة اختراق أنظمتها وميزاتها، سعياً للكشف عنها والتوجه لمعالجتها، في تصرف يبدو الجميع فيه رابحاً في النهاية.
لكن الشركة اليوم تنتقل إلى مستوى آخر من الجدية بإعلانها عن مكافأة ضخمة قدرها مليون دولار أمريكي، ولمهمة واحدة فقط؛ وهي اقتحام Knox Vault، أحد أهم ميزات الأمان وحماية البيانات في سلسلتَي الهواتف Galaxy S وZ.
ابتدأت سامسونج برنامج المكافآت الأمنية للأجهزة المحمولة في العام 2017، وقد أطلقت مؤخراً أول تقرير سنوي لها فيما يخص ذلك، كاشفة عن تفاصيل في منتهى الدقة. إذ ذكرت بأن البرنامج قد دفع ما يقارب 5 ملايين دولار أمريكي كمكافآت على الأخطاء المكتشفة، منها 827,925 دولار دفعتها لصالح 113 باحثاً في العام 2023 وحده. وبلغت قيمة أعلى مكافأة فردية مُنحت لمخترق زهاء 57,190 دولار.
لعل أبرز تلك المكافآت كانت في أعقاب مسابقة Pwn2Own، حين نجح عدد من المشاركين باختراق هاتف Galaxy S23، ليس مرة واحدة فقط، بل أربع مرات، باستخدام ثغرات اليوم صفر، وغادروا تلك الليلة بمكافأة باهظة بلغت 125 ألف دولار أمريكي.
لكن العملاق الكوري يرفع السقف عالياً هذه المرة، مع مكافأة تصل مليون دولار، وذلك في تحديث أعلنته الشركة على برنامجها الخاص Important Scenario Vulnerability Program، محددة هدفاً مميزاً، ألا وهو ميزة Knox Vault. لكن بشرط استيفاء عدد من الشروط والحالات؛ كأن يكون الهجوم الفعال معدّاً عن بعد، ولا يحتاج لأي نقرات أو أي تفاعل معين من قبل المستخدم، وأن يكون فعالاً تماماً رفقة أحدث التحديثات الأمنية المثبتة، وأن يجري دون أن يتطلب أي امتيازات خاصة، وأن يلتزم تقرير الثغرة قواعد استحقاق المكافأة.
للانضمام إلى رحلة الصيد تلك، يتوجب تقديم تقرير بالثغرة الأمنية إلى سامسونج باستخدام نظامها الرسمي لتسجيل التقارير، إذ إن التقارير المقدمة عبر البريد الإلكتروني لن تكون مؤهلة لاستحقاق المكافأة. وبعد ذلك، سيجري وضع المخترق على اتصال مباشر مع محلل أمني مخصص بشأن الثغرة التي يدعي اكتشافها.
