Hur mycket topphackare tjänar på belöningar för upptäckta sårbarheter.

Senaste uppdateringen dec 4, 2022

Du kanske inte tjänar en miljon dollar, men hackare tjänar bra på att rapportera sårbarheter.

Kan du bli rik genom att rapportera programvarubuggar? För vissa är att hitta sårbarheter på webbplatser och appar lite som att lägga ett korsord, medan det för andra är deras huvudsakliga inkomstkälla.

Att betala hackare för att hitta brister i programvara eller tjänster är en allt vanligare praxis; Dessa "bug bounty"-program tillåter hackare att få betalt för att hitta buggar, medan organisationer drar nytta av möjligheten att förbättra sin säkerhet genom att betala flera tusen dollar för varje bugg.

HackerOne, som driver liknande bug-bounty-program för organisationer inklusive det amerikanska försvarsdepartementet och Google, har släppt nya uppgifter om antalet sårbarheter som hittats av hackare som registrerat sig för dess projekt och hur mycket de fick betalt. Hittills har över 181 000 sårbarheter rapporterats, och mer än 100 miljoner dollar har betalats ut till hackare som prenumererar på dess tjänst .

Företaget sa att mer än 44,75 miljoner dollar i belöningar har delats ut till hackare runt om i världen under det senaste året, en ökning med 86 % från förra året. De allra flesta av dem tilldelas av organisationer i USA.

Vissa buggar kan tjäna anständiga belöningar: HackerOne rapporterade att den genomsnittliga belöningen för kritiska sårbarheter har ökat till 3 650 $, en ökning med åtta procent från förra året, medan den genomsnittliga belöningen för en sårbarhet är 979 $. Kritiska sårbarheter utgör cirka 8 % av alla rapporter, medan rapporter med hög allvarlighetsgrad står för 21 %.

HackerOne fick veta att "hacking förblir en konstant och stabil inkomstkälla" för vissa registrerade hackare. Nästan nio av tio personer är under 35 år, och en av fem sa att hacking är deras enda inkomstkälla.

Millionaires Bug Bounty

Nio enskilda hackare har samlat ihop 1 miljon dollar på mindre än ett decennium genom HackerOne, vilket visar att feljakt kan löna sig bra. Och över 200 hackare har tjänat över 100 000 dollar och 9 000 hackare har gjort "något". Av hackarna som upptäckte minst en sårbarhet tjänade hälften 1 000 dollar eller mer.

Men även om många inte tjänar mycket pengar på att jaga buggar, kan de färdigheter de lär sig vara bra för deras karriärer; fyra av fem sa att de skulle använda de färdigheter och erfarenheter som fick under hacket för att hitta arbete.

Det globala coronavirusutbrottet verkar ha sett en ökning av attacker mot organisationer, men det har också utlöst en ökning av hackare som vill hjälpa till att hitta och åtgärda säkerhetsbrister. HackerOne rapporterade att nya hackerregistreringar har ökat med 59% under månaderna sedan pandemin började, och buggrapporter har ökat med 28% – möjligen för att många människor har tvingats stanna hemma, vilket ger dem mer tid att leta efter buggar.

Men att hitta buggar för pengar kan bli allt svårare. När organisationer fixar fler sårbarheter ökar den genomsnittliga belöningen, vilket är bra för jägare. Men de återstående sårbarheterna blir också svårare att identifiera, vilket kräver mer skicklighet och ansträngning att upptäcka.