В 2020 году так называемые белые хакеры заработали рекордные 40 млн. долларов за сообщение о дефектах и уязвимостях программного обеспечения через программу Bug Bounty на площадке HackerOne.
Что такое Bug Bounty
Это программа, в рамках которой эксперты изучают продукты компаний, составляют отчеты о выявленных недостатках и получают вознаграждение.
HackerOne сообщает, что девять хакеров заработали более миллиона долларов каждый после того, как сообщили о своих результатах пострадавшим компаниям.
Румынский специалист, начал заниматься поиском программных ошибок два года назад, увидел, что сейчас его общий доход превышает 2 миллиона долларов. Самый высокооплачиваемый хакер Великобритании в прошлом году заработал 370 тысяч долларов.
Платформа предполагает, что из-за пандемии у “белых хакеров” появилось больше времени для работы.
Исследование, проведенное HackerOne, показало, что 38% ее сотрудников потратили больше времени на работу на площадке с начала вспышки Covid-19.
Деньги – не главное
Участники HackerOne работают неполный день и живут в разных странах мира, в частности в США, Аргентине, Китае, Индии, Нигерии и Египте.
Гонорар зависит от серьезности дефекта и может варьироваться от 140 долларов до значительно больших сумм.
HackerOne, базирующаяся в Калифорнии, берет с компаний абонентскую плату за пользование своей платформой.
Британка Кэти Пакстон-Феар преподает в Манчестерском университете, а в свободное время занимается поиском программных “багов”.
По ее словам, деньги за такую работу платят хорошие, но назвать это схеме быстрого обогащения нельзя.
“Я заработала около 12 тысяч фунтов (16,7 тыс. долларов) за 12 месяцев, – рассказала она – Помню, как впервые нашла ошибку. От эмоций меня просто трясло. Я подумала: вау, я только спасла людей от довольно серьезной проблемы”.
“Для меня это не просто заработок, я активно помогаю защищать приложения, которыми пользуюсь сама”.
Другая аналогичная платформа YesWeHack, базирующаяся во Франции, заявила, что в 2020 году ее 22 тысячи работников обнаружили вдвое больше ошибок, чем годом ранее.
Однако YesWeHack не разглашает данные о денежных вознаграждениях, полученные через ее сервис.
“Учитывая новые риски и важность кибербезопасности для экономического выживания компаний, все больше руководителей служб информационной безопасности обращаются за помощью в обнаружении дефектов”, – говорит генеральный директор YesWeHack Гийом Вассо-Ульер.
Еще одна подобная компания BugCrowd сообщила, что за последние 12 месяцев количество заявок на ее платформе увеличилось на 50%.
Скептики
За последние пять лет популярность коммерческих программ по выявлению ошибок очень выросла, но некоторые эксперты считают, что эта система имеет недостатки, и на нее нельзя слишком полагаться.
Виктор Геверс, специалист по кибербезопасности и руководитель GDI Foundation – фонда по ответственному раскрытия информации в Нидерландах, говорит, что никогда не брал денег за выявленные ошибки.
“Мы не участвуем в таких программах, потому что они довольно узкие по своему охвату и позволяют исследователям искать недостатки только в определенных частях системы”, – говорит он.
“Мы же хотим иметь возможность нравственно искать уязвимости там, где, как мы считаем, они есть, и сохранять нашу независимость. Но для начинающих или студентов эти коммерческие платформы подходят идеально, так как они предлагают защиту, ресурсы и является идеальным местом для старта автомобиль “эры в области безопасности”.
Спасибо!
Теперь редакторы в курсе.