Можно ли разбогатеть на Bug Bounty? Для одних поиск уязвимостей в сайтах и приложениях – развлечение типа кроссворда, для других - это основной источник дохода.
Плата хакерам за поиск дефектов в программном обеспечении или сервисах становится все более распространенным явлением. Программы «Bug Bounty» позволяют хакерам получать деньги за обнаружение уязвимостей, в то время как организации получают выгоду от возможности улучшить безопасность, заплатив несколько тысяч долларов за каждую ошибку.
Платформа «HackerOne», которая организует запуск программ вознаграждения за найденные уязвимости для организаций, включая Министерство обороны США и Google, опубликовала новые данные о количестве обнаруженных хакерами уязвимостей и об оплате за их обнаружение. На сегодняшний день зарегистрировано более 181 000 уязвимостей, а хакерам, подписавшимся на сервис, выплачено более ста миллионов долларов.
Компания сообщила, что за прошедший год хакеры по всему миру получили более $44,75 млн. в виде бонусов, что на 86 процентов больше чем в прошлом году. Подавляющее большинство выплат производится организациями из США.
Некоторые баги могут принести достойную награду. HackerOne заявил, что средняя сумма, выплаченная за критические уязвимости, увеличилась до $3,650. Это на восемь процентов больше, чем в прошлом году, в то время как средняя сумма, выплаченная за одну уязвимость, составляет $979. Критические уязвимости составляют около 8% всех заявленных, уязвимости высокой степени серьезности - 21%.
HackerOne заявили, что «хакерство оставалось постоянным и стабильным источником дохода» для некоторых зарегистрированных хакеров. Почти девять из десяти хакеров младше 35 лет и каждый пятый заявил, что хакерство является их единственным источником дохода.
Миллионеры Bug Bounty
Девять хакеров менее чем за десять лет накопили по миллиону долларов общего заработка через HackerOne, что свидетельствует о том, что охота за уязвимостями может быть хорошо оплачена для элиты. Более 200 хакеров заработали свыше 100 000 долларов, а 9000 участников программ заработали «хотя бы что-то». Из хакеров, нашедших хотя бы одну уязвимость, половина заработала $1000 и более.
Даже если многие участники не зарабатывают миллионы на Bug Bounty, навыки, которым они овладевают в процессе, могут косвенно принести пользу их карьере; четверо из пяти опрошенных сообщили, что они будут использовать навыки и опыт, полученные во время взлома, чтобы найти высокооплачиваемую работу.
Глобальная вспышка коронавируса, похоже, привела к всплеску вредоносных атак на бизнес, но она же вызвала рост числа исследователей, которые хотят помочь найти и исправить уязвимости безопасности. HackerOne сообщили, что число новых участников увеличилось на 59% за месяцы, прошедшие после начала пандемии, в то время как число сообщений об уязвимостях увеличилось на 28% - возможно, из-за того, что многие люди были вынуждены оставаться дома, что дало им больше времени для охоты на баги.
Со временем охота за уязвимостями становится сложнее. По мере того, как организации устраняют все больше недостатков безопасности, увеличивается средняя величина награды за новые баги, что является позитивным трендом для исследователей безопасности. В то же время оставшиеся уязвимые места в корпоративной защите становятся более сложными для выявления, что требует большего мастерства и усилий «охотника».
Перевод сделан со статьи https://www.zdnet.com