Potresti non guadagnare un milione di dollari, ma gli hacker guadagnano bene segnalando le vulnerabilità.
Puoi diventare ricco segnalando bug del software? Per alcuni, trovare vulnerabilità in siti web e app è un po’ come fare un cruciverba, mentre per altri è la loro principale fonte di guadagno.
Pagare gli hacker per trovare difetti in software o servizi è una pratica sempre più comune; Questi programmi "bug bounty" consentono agli hacker di essere pagati per la ricerca di bug, mentre le organizzazioni beneficiano della possibilità di migliorare la propria sicurezza pagando diverse migliaia di dollari per ogni bug.
HackerOne, che gestisce simili programmi di bug bounty per organizzazioni tra cui il Dipartimento della Difesa degli Stati Uniti e Google, ha rilasciato nuovi dati sul numero di vulnerabilità rilevate dagli hacker che si sono iscritti ai suoi progetti e su quanto sono stati pagati. Ad oggi, sono state segnalate oltre 181.000 vulnerabilità e più di 100 milioni di dollari sono stati pagati agli hacker che si abbonano al suo servizio .
La società ha affermato che più di 44,75 milioni di dollari in premi sono stati assegnati agli hacker di tutto il mondo nell’ultimo anno, con un aumento dell’86% rispetto allo scorso anno. La stragrande maggioranza di loro viene assegnata da organizzazioni negli Stati Uniti.
Alcuni bug possono ottenere ricompense decenti: HackerOne ha riferito che la taglia media per le vulnerabilità critiche è aumentata a $ 3.650, l’8% in più rispetto allo scorso anno, mentre la taglia media per una vulnerabilità è di $ 979. Le vulnerabilità critiche costituiscono circa l’8% di tutte le segnalazioni, mentre le segnalazioni di gravità elevata rappresentano il 21%.
Ad HackerOne è stato detto che "l’hacking rimane una fonte di reddito costante e stabile" per alcuni hacker registrati. Quasi nove persone su dieci hanno meno di 35 anni e una su cinque ha affermato che l’hacking è la loro unica fonte di reddito.
Taglia bug milionari
Nove singoli hacker hanno accumulato un totale di $ 1 milione in meno di un decennio attraverso HackerOne, dimostrando che la caccia ai bug può ripagare profumatamente. E oltre 200 hacker hanno guadagnato oltre $ 100.000 e 9.000 hacker hanno fatto "qualcosa". Degli hacker che hanno scoperto almeno una vulnerabilità, la metà ha guadagnato $ 1.000 o più.
Ma anche se molti non guadagnano molti soldi inseguendo bug, le abilità che apprendono possono essere utili per la loro carriera; quattro su cinque hanno affermato che avrebbero utilizzato le competenze e l’esperienza acquisite durante l’hacking per trovare lavoro.
L’epidemia globale di coronavirus sembra aver visto un aumento degli attacchi alle organizzazioni, ma ha anche innescato un aumento degli hacker che cercano di aiutare a trovare e correggere falle di sicurezza. HackerOne ha riferito che le nuove registrazioni di hacker sono aumentate del 59% nei mesi dall’inizio della pandemia e le segnalazioni di bug sono aumentate del 28%, forse perché molte persone sono state costrette a rimanere a casa, dando loro più tempo per cercare bug.
Ma trovare bug per soldi può diventare sempre più difficile. Man mano che le organizzazioni risolvono più vulnerabilità, la ricompensa media aumenta, il che è positivo per i cacciatori. Tuttavia, anche le rimanenti vulnerabilità diventano più difficili da identificare, richiedendo più abilità e impegno per essere scoperte.