Dobre wynagrodzenia w programach bug bounty.

Zarobkowanie na znajdowaniu błędów

Może nie (od razu) miliony dolarów, ale hakerzy zarabiają naprawdę niezłe pieniądze na zgłaszaniu luk w zabezpieczeniach. Kto się wzbogaca na zgłaszaniu błędów oprogramowania? Dla niektórych polowanie na luki w witrynach i aplikacjach jest wyzwaniem przypominającym trochę rozwiązywanie krzyżówek; dla innych jest to główne źródło dochodu.

Płacenie hakerom za wyszukiwanie luk w oprogramowaniu lub usługach staje się coraz bardziej powszechne. Te programy to tzw. bug bounty. Pozwalają one hakerom zarabiać na wykrywaniu problemów, podczas gdy organizacje czy firmy korzystają z możliwości zwiększania bezpieczeństwa, płacąc przeciętnie kilka tysięcy dolarów za błąd.

Statystyki

Nie mamy rzecz jasna takich danych dla Polski ale HackerOne, który uruchamia programy bug bounty dla m.in. Departamentu Obrony Stanów Zjednoczonych i Google, opublikował nowe dane o liczbie luk wykrytych przez hakerów zarejestrowanych w jego projektach - oraz o kwotach, które im zapłacono. Do tej pory zgłoszono ponad 181 000 luk w zabezpieczeniach, a hakerom, którzy zarejestrowali się w jego usłudze, wypłacono ponad 100 milionów dolarów.

Firma podała, że w zeszłym roku hakerom na całym świecie przyznano ponad 44,75 miliona dolarów nagród, co stanowi 86% wzrost rok do roku. Zdecydowana większość z nich jest przyznawana przez organizacje w USA.

Ile zarobi przeciętny łowca bugów?

Niektóre błędy mogą przynieść przyzwoitą nagrodę: HackerOne twierdzi, że średnia nagroda zapłacona za krytyczne luki wzrosła do 3650 USD, co oznacza wzrost o 8% rok do roku. Średnia kwota płacona za lukę inną niż krytyczna wynosi natomiast 979 USD. Krytyczne luki w zabezpieczeniach stanowią około 8% wszystkich zgłoszeń, podczas gdy raporty o tzw. wysokim poziomie istotności stanowią 21%.

Według HackerOne uczestnictwo w bug bounty pozostaje stałym i stabilnym źródłem dochodu dla niektórych spośród zarejestrowanych hakerów. Prawie dziewięciu na dziesięciu z nich ma mniej niż 35 lat, a jeden na pięciu powiedział, że hakowanie jest jego jedynym źródłem dochodu.

A rekordziści?

Dziewięciu indywidualnych hakerów zebrało milion dolarów łącznych zarobków z nagród za pośrednictwem HackerOne, i to w mniej niż dekadę. To pokazuje, że najlepsi w polowaniu na błędy mogą być naprawdę sowicie opłacani. Ponad 200 hakerów zarobiło z kolei ponad 100 000 dolarów, a 9 000 przynajmniej coś. Spośród hakerów, którzy znaleźli co najmniej jedną lukę, połowa zarobiła 1000 USD lub więcej.

Perspektywy

Ale nawet jeśli wiele osób nie zarabia szczególnie dużo na samym polowaniu na bugi, to umiejętności, których się uczą, są często bezcenne dla ich kariery. Czterech na pięciu stwierdziło, że wykorzysta umiejętności i doświadczenie zdobyte podczas hakowania, aby znaleźć pracę.

Pandemia koronawirusa doprowadziła do wzrostu liczby złośliwych ataków na organizacje, ale spowodowała również wzrost liczby hakerów, którzy chcą pomóc znaleźć i naprawić luki w zabezpieczeniach. HackerOne powiedział, że liczba nowych rejestracji hakerów wzrosła o 59% w miesiącach następujących po rozpoczęciu pandemii, podczas gdy liczba zgłoszeń błędów wzrosła o 28%. Zapewne dlatego, że wiele osób zostało zmuszonych do pozostania w domu, co dało im więcej czasu na poszukiwanie błędów.

Ale polowanie na pluskwy za pieniądze może być coraz trudniejsze. Im więcej luk organizacje naprawiają tym bardziej rosną średnie wartości nagród. Ale jednocześnie pozostają do wykrycia te najtrudniejsze do zidentyfikowania luki, których odkrycie wymaga większych umiejętności i wysiłku.

https://www.zdnet.com/article/this-is-how-much-top-hackers-are-earning-from-bug-bounties