Kuinka paljon huippuhakkerit ansaitsevat palkkioista löydetyistä haavoittuvuuksista.

Viimeisin päivitys joulu 4, 2022

Et ehkä tienaa miljoonaa dollaria, mutta hakkerit tienaavat paljon ilmoittamalla haavoittuvuuksista.

Voitko rikastua ilmoittamalla ohjelmistovirheistä? Joillekin verkkosivustojen ja sovellusten haavoittuvuuksien löytäminen on vähän kuin ristisanatehtävää, kun taas toisille se on heidän pääasiallinen tulonlähde.

Hakkereiden maksaminen ohjelmistojen tai palveluiden vikojen löytämisestä on yhä yleisempi käytäntö. Näiden "vikapalkkio"-ohjelmien avulla hakkerit voivat saada palkkaa virheiden löytämisestä, kun taas organisaatiot hyötyvät mahdollisuudesta parantaa turvallisuuttaan maksamalla useita tuhansia dollareita jokaisesta virheestä.

HackerOne, joka toteuttaa samanlaisia bugipalkkioohjelmia organisaatioille, kuten Yhdysvaltain puolustusministeriölle ja Googlelle, on julkaissut uusia tietoja projekteihin ilmoittautuneiden hakkereiden löytämien haavoittuvuuksien määrästä ja siitä, kuinka paljon heille maksettiin. Tähän mennessä on raportoitu yli 181 000 haavoittuvuutta, ja yli 100 miljoonaa dollaria on maksettu sen palvelun tilaaville hakkereille .

Yhtiön mukaan yli 44,75 miljoonaa dollaria palkkioita on myönnetty hakkereille ympäri maailmaa viimeisen vuoden aikana, mikä on 86 % enemmän kuin viime vuonna. Suurin osa niistä on yhdysvaltalaisten organisaatioiden myöntämiä.

Jotkut bugit voivat ansaita kunnollisia palkintoja: HackerOne raportoi, että kriittisten haavoittuvuuksien keskimääräinen palkkio on noussut 3 650 dollariin, mikä on kahdeksan prosenttia enemmän kuin viime vuonna, kun taas haavoittuvuuden keskimääräinen palkkio on 979 dollaria. Kriittiset haavoittuvuudet muodostavat noin 8 % kaikista raporteista, kun taas vakavia raportteja on 21 %.

HackerOnelle kerrottiin, että "hakkerointi on jatkuva ja vakaa tulonlähde" joillekin rekisteröidyille hakkereille. Lähes yhdeksän kymmenestä on alle 35-vuotiaita, ja joka viides sanoi hakkeroinnin olevan heidän ainoa tulonlähde.

Millionaires Bug Bounty

Yhdeksän yksittäistä hakkeria on kerännyt yhteensä miljoona dollaria alle vuosikymmenessä HackerOnen kautta, mikä osoittaa, että vikojen metsästys voi maksaa komeasti. Ja yli 200 hakkeria on tienannut yli 100 000 dollaria ja 9 000 hakkeria on tehnyt "jotain". Hakkereista, jotka löysivät vähintään yhden haavoittuvuuden, puolet tienasi 1 000 dollaria tai enemmän.

Mutta vaikka monet eivät ansaitse paljon rahaa jahtaamalla vikoja, heidän oppimansa taidot voivat olla hyviä heidän urallaan; neljä viidestä sanoi käyttävänsä hakkeroinnin aikana hankittuja taitoja ja kokemusta työn löytämiseen.

Maailmanlaajuinen koronavirusepidemia näyttää lisääntyneen organisaatioihin kohdistuvissa hyökkäyksissä, mutta se on myös lisännyt hakkereita, jotka haluavat auttaa löytämään ja korjaamaan tietoturvapuutteita. HackerOne raportoi, että uusien hakkerien rekisteröinnit ovat lisääntyneet 59 % kuukausina pandemian alkamisen jälkeen, ja virheilmoitukset ovat lisääntyneet 28 % – mahdollisesti siksi, että monet ihmiset ovat joutuneet jäämään kotiin, mikä antaa heille enemmän aikaa etsiä vikoja.

Mutta vikojen löytäminen rahalle voi olla yhä vaikeampaa. Kun organisaatiot korjaavat lisää haavoittuvuuksia, keskimääräinen palkkio nousee, mikä on metsästäjien eduksi. Jäljellä olevia haavoittuvuuksia on kuitenkin vaikeampi tunnistaa, ja niiden löytäminen vaatii enemmän taitoa ja vaivaa.