Скільки топ-хакерів заробляють на нагородах за знайдені вразливості.

Останнє оновлення Гру 1, 2022

Можливо, ви не заробите мільйон доларів, але хакери добре заробляють, повідомляючи про вразливість.

Чи можете ви стати багатим, повідомляючи про помилки у програмному забезпеченні? Для деяких пошук вразливостей на веб-сайтах і додатках – завдання, що трохи нагадує розгадування кросворду, а для інших це основне джерело доходу.

Плата хакерам за пошук недоліків у програмному забезпеченні чи послугах стає дедалі поширеною практикою; Ці програми bug bounty дозволяють хакерам отримувати гроші за виявлення проблем, в той час як організації отримують вигоду від можливості підвищити свою безпеку, сплачуючи кілька тисяч доларів за кожну помилку.

HackerOne, яка запускає подібні програми винагороди за помилки для організацій, включаючи Міністерство оборони США та Google, опублікувала нові дані про кількість вразливостей, виявлених хакерами, що підписалися на його проекти, та про те, скільки їм було заплачено. На сьогоднішній день зареєстровано понад 181 000 вразливостей, і хакерам, які підписалися на його сервіс, виплачено понад 100 мільйонів доларів.

Компанія заявила, що за останній рік хакерам по всьому світу було присуджено винагороду на суму понад 44,75 мільйона доларів, що на 86% більше, ніж торік. Переважна більшість із них присуджується організаціями США.

Деякі баги можуть принести гідну винагороду: HackerOne повідомила, що середня сума винагороди за критичні вразливості збільшилася до 3650 доларів, що на вісім відсотків більше, ніж торік, тоді як середня сума, що виплачується за вразливість, становить 979 доларів. Критичні вразливості становлять близько 8% усіх звітів, тоді як звіти високого рівня небезпеки становлять 21%.

HackerOne сказали, що "хакерство залишається постійним та стабільним джерелом доходу" для деяких зареєстрованих хакерів. Майже дев’ять із десяти людей молодше 35 років, і кожен п’ятий сказав, що злом – їхнє єдине джерело доходу.

Мільйонери Bug Bounty

Дев’ять окремих хакерів накопичили через HackerOne загальний дохід у 1 мільйон доларів менш ніж за десять років, показуючи, що полювання на помилки може добре окупитися. І понад 200 хакерів заробили понад 100 000 доларів, а 9 000 хакерів заробили "хоч щось". З хакерів, які виявили хоча б одну вразливість, половина заробила 1000 доларів і більше.

Але навіть якщо багато хто не заробляє багато грошей на полюванні за помилками, навички, яким вони опановують, можуть виявитися корисними для їхньої кар’єри; четверо з п’яти заявили, що вони будуть використовувати навички та досвід, отримані під час злому, щоб знайти роботу.

Глобальний спалах коронавірусу, схоже, спричинив сплеск атак на організації, але він також викликав збільшення кількості хакерів, які прагнуть допомогти знайти і виправити недоліки безпеки. HackerOne повідомила, що кількість реєстрацій нових хакерів збільшилася на 59% за місяці після початку пандемії, а кількість повідомлень про помилки збільшилася на 28% – можливо тому, що багато людей були змушені залишатися вдома, даючи їм більше часу для пошуку помилок.

Але пошук помилок за гроші може ставати дедалі важчим. У міру того, як організації виправляють більше вразливостей, середній розмір винагороди збільшується, що добре для мисливців. Однак уразливості, що залишаються, також стає важче ідентифікувати, що вимагає додаткових навичок і зусиль для виявлення.