Як "білі хакери" стали мільйонерами під час пандемії

Як це працює і як хакери можуть додатково заробити під час пандемії? Читайте у матеріалі ВВС.

Що таке Bug Bounty

Це програма, в рамках якої експерти вивчають продукти компаній, складають звіти про виявлені недоліки та отримують винагороду.

HackerOne повідомляє, що дев'ять хакерів заробили понад мільйон доларів кожен після того, як повідомили про свої результати постраждалим компаніям.

Румунський фахівець, що почав займатися пошуком програмних помилок два роки тому, побачив, що наразі його загальний дохід перевищує 2 мільйони доларів. Найбільш високооплачуваний хакер Британії минулого року заробив 370 тисяч доларів.

Платформа припускає, що через пандемію у "білих хакерів" з'явилось більше часу для роботи.

Дослідження, проведене HackerOne, показало, що 38% її працівників витратили більше часу на роботу на майданчику з початку спалаху Covid-19.

Гроші - не головне

Учасники HackerOne працюють неповний день і мешкають в різних країнах світу, зокрема в США, Аргентині, Китаї, Індії, Нігерії та Єгипті.

Гонорар залежить від серйозності дефекту і може варіюватися від 140 доларів до значно більших сум.

HackerOne, що базується в Каліфорнії, бере з компаній абонентську плату за користування своєю платформою.

За її словами, гроші за таку роботу платять гарні, але назвати це схемою швидкого збагачення не можна.

"Я заробила близько 12 тисяч фунтів (16,7 тис. доларів) за 12 місяців, - розповіла вона ВВС. - Пам'ятаю, як вперше знайшла помилку. Від емоцій мене просто трусило. Я подумала: вау, я щойно врятувала людей від доволі серйозної проблеми".

"Для мене це не просто заробіток, я активно допомагаю захищати додатки, якими користуюся сама".

Інша аналогічна платформа YesWeHack, що базується у Франції, заявила, що у 2020 році її 22 тисячі працівників виявили вдвічі більше помилок, ніж попереднього року.

Однак YesWeHack не розголошує дані про грошові винагороди, отримані через її сервіс.

"Зважаючи на нові ризики й важливість кібербезпеки для економічного виживання компаній, все більше керівників служб інформаційної безпеки звертаються за допомогою у виявленні дефектів", - каже генеральний директор YesWeHack Гійом Вассо-Ульєр.

Ще одна подібна компанія BugCrowd повідомила, що за останні 12 місяців кількість заявок на її платформі збільшилося на 50%.

Скептики

За останні п'ять років популярність комерційних програм з виявлення помилок дуже зросла, але деякі експерти вважають, що ця система має недоліки, і на неї не можна занадто покладатись.

Віктор Геверс, фахівець з кібербезпеки та керівник GDI Foundation - фонду з відповідального розкриття інформації у Нідерландах, каже, що ніколи не брав грошей за виявлені помилки.

"Ми не беремо участі у таких програмах, тому що вони доволі вузькі за своїм охопленням і дозволяють дослідникам шукати недоліки тільки у певних частинах системи", - каже він.

"Ми ж хочемо мати можливість етично шукати вразливості там, де, як ми вважаємо, вони є, і зберігати нашу незалежність. Але для початківців або студентів ці комерційні платформи підходять ідеально, оскільки вони пропонують захист, ресурси та є ідеальним місцем для старту кар'єри у галузі безпеки".