Wie viel verdienen Top-Hacker mit Belohnungen für gefundene Schwachstellen?

Last updated 4. Dezember 2022

Sie verdienen vielleicht keine Million Dollar, aber Hacker verdienen gutes Geld, wenn sie Schwachstellen melden.

Kann man durch das Melden von Softwarefehlern reich werden? Für einige ist das Auffinden von Schwachstellen in Websites und Apps ein bisschen wie das Lösen eines Kreuzworträtsels, während es für andere ihre Haupteinnahmequelle ist.

Hacker dafür zu bezahlen, Fehler in Software oder Diensten zu finden, ist eine zunehmend gängige Praxis; Diese „Bug Bounty”-Programme ermöglichen es Hackern, für das Auffinden von Fehlern bezahlt zu werden, während Unternehmen von der Möglichkeit profitieren, ihre Sicherheit zu verbessern, indem sie mehrere tausend Dollar für jeden Fehler zahlen.

HackerOne, das ähnliche Bug-Bounty-Programme für Organisationen wie das US-Verteidigungsministerium und Google durchführt, hat neue Daten über die Anzahl der Schwachstellen veröffentlicht, die von Hackern gefunden wurden, die sich für seine Projekte angemeldet haben, und wie viel sie bezahlt wurden. Bis heute wurden über 181.000 Schwachstellen gemeldet und mehr als 100 Millionen US-Dollar an Hacker ausgezahlt, die seinen Dienst abonniert haben .

Das Unternehmen sagte, dass im vergangenen Jahr mehr als 44,75 Millionen US-Dollar an Prämien an Hacker auf der ganzen Welt vergeben wurden, 86 % mehr als im Vorjahr. Die überwiegende Mehrheit von ihnen wird von Organisationen in den USA vergeben.

Einige Fehler können anständig belohnt werden: HackerOne berichtete, dass die durchschnittliche Prämie für kritische Schwachstellen auf 3.650 US-Dollar gestiegen ist, acht Prozent mehr als im Vorjahr, während die durchschnittliche Prämie für eine Schwachstelle 979 US-Dollar beträgt. Kritische Schwachstellen machen etwa 8 % aller Meldungen aus, während Meldungen mit hohem Schweregrad 21 % ausmachen.

HackerOne wurde mitgeteilt, dass „Hacking für einige registrierte Hacker eine konstante und stabile Einnahmequelle bleibt”. Fast neun von zehn Menschen sind unter 35 Jahre alt, und jeder fünfte gibt an, dass Hacken seine einzige Einnahmequelle ist.

Millionaires Bug Bounty

Neun einzelne Hacker haben durch HackerOne in weniger als einem Jahrzehnt insgesamt 1 Million US-Dollar angehäuft, was zeigt, dass sich die Suche nach Fehlern gut auszahlen kann. Und über 200 Hacker haben über 100.000 Dollar gemacht und 9.000 Hacker haben "etwas" gemacht. Von den Hackern, die mindestens eine Schwachstelle entdeckten, verdiente die Hälfte 1.000 $ oder mehr.

Aber selbst wenn viele mit der Jagd nach Fehlern nicht viel Geld verdienen, können die Fähigkeiten, die sie lernen, gut für ihre Karriere sein; Vier von fünf gaben an, dass sie die während des Hacks erworbenen Fähigkeiten und Erfahrungen nutzen würden, um Arbeit zu finden.

Der weltweite Ausbruch des Coronavirus scheint zu einem Anstieg von Angriffen auf Unternehmen geführt zu haben, hat aber auch zu einer Zunahme von Hackern geführt, die versuchen, Sicherheitslücken zu finden und zu beheben. HackerOne berichtete, dass die Zahl der Hacker-Neuregistrierungen in den Monaten seit Beginn der Pandemie um 59 % und die Fehlerberichte um 28 % zugenommen haben – möglicherweise, weil viele Menschen gezwungen waren, zu Hause zu bleiben, was ihnen mehr Zeit gab, nach Fehlern zu suchen.

Aber es kann immer schwieriger werden, Käfer für Geld zu finden. Wenn Organisationen mehr Schwachstellen beheben, steigt die durchschnittliche Belohnung, was gut für Jäger ist. Die verbleibenden Schwachstellen sind jedoch auch schwieriger zu identifizieren und erfordern mehr Geschick und Mühe, um sie zu entdecken.