Сколько топ-хакеры зарабатывают на наградах за найденные уязвимости.
Можете ли вы стать богатым, сообщая об ошибках в программном обеспечении? Для некоторых поиск уязвимостей на веб-сайтах и в приложениях - задача, немного напоминающая разгадывание кроссворда, а для других это основной источник дохода.
Плата хакерам за поиск недостатков в программном обеспечении или услугах становится все более распространенной практикой; Эти программы «bug bounty» позволяют хакерам получать деньги за обнаружение проблем, в то время как организации получают выгоду от возможности повысить свою безопасность, платя несколько тысяч долларов за каждую ошибку.
HackerOne, которая запускает подобные программы вознаграждения за ошибки для организаций, включая Министерство обороны США и Google, опубликовала новые данные о количестве уязвимостей, обнаруженных хакерами, подписавшимися на его проекты, и о том, сколько им было заплачено. На сегодняшний день зарегистрировано более 181 000 уязвимостей, и хакерам, подписавшимся на его сервис, выплачено более 100 миллионов долларов.
Компания заявила, что за последний год хакерам по всему миру было присуждено вознаграждение на сумму более 44,75 миллиона долларов, что на 86% больше, чем в прошлом году. Подавляющее большинство из них присуждается организациями в США.
Некоторые баги могут принести достойное вознаграждение: HackerOne сообщила, что средняя сумма вознаграждения за критические уязвимости увеличилась до 3650 долларов, что на восемь процентов больше, чем в прошлом году, в то время как средняя сумма, выплачиваемая за уязвимость, составляет 979 долларов. Критические уязвимости составляют около 8% всех отчетов, в то время как отчеты высокой степени опасности составляют 21%.
HackerOne сказали, что «хакерство остается постоянным и стабильным источником дохода» для некоторых зарегистрированных хакеров. Почти девять из десяти людей моложе 35 лет, и каждый пятый сказал, что взлом - их единственный источник дохода.
Миллионеры Bug Bounty
Девять отдельных хакеров накопили через HackerOne общий доход в 1 миллион долларов менее чем за десять лет, показывая, что охота за ошибками может хорошо окупиться. И более 200 хакеров заработали более 100 000 долларов, а 9 000 хакеров заработали «хоть что-то». Из хакеров, обнаруживших хотя бы одну уязвимость, половина заработала 1000 долларов и более.
Но даже если многие не зарабатывают много денег на охоте за ошибками, навыки, которым они овладевают, могут оказаться полезными для их карьеры; четверо из пяти заявили, что они будут использовать навыки и опыт, полученные во время взлома, чтобы найти работу.
Глобальная вспышка коронавируса, похоже, привела к всплеску атак на организации, но она также вызвала увеличение числа хакеров, стремящихся помочь найти и исправить недостатки безопасности. HackerOne сообщила, что количество регистраций новых хакеров увеличилось на 59% за месяцы после начала пандемии, а количество сообщений об ошибках увеличилось на 28% - возможно, потому, что многие люди были вынуждены оставаться дома, давая им больше времени для поиска ошибок.
Но поиск ошибок за деньги может становиться все труднее. По мере того, как организации исправляют больше уязвимостей, средний размер вознаграждения увеличивается, что хорошо для охотников. Однако остающиеся уязвимости также становится труднее идентифицировать, что требует дополнительных навыков и усилий для обнаружения.
Подписывайся на Эксплойт в Telegram, чтобы всегда оставаться на страже своей безопасности и анонимности в интернете.