Хакеры — не равно киберпреступники. Многие из них активно пытаются помочь крупным компаниям избежать утечки данных, сотрудничая с ними через сервис HackerOne. Организации публикуют запрос на поиск уязвимостей и назначают вознаграждение, которое может достигать 15 000 долларов. Такие деньги, например, готова предложить Mail.ru Group за обнаружение серьезных прорех в новом браузере Atom. Не жалеют денег на «белых» хакеров Twitter, Valve, «ВКонтакте» и даже Pornhub. А вот Министерство обороны США, которое тоже пользуется HackerOne, ограничивается одной лишь благодарностью. За прошлый год только российские хакеры заработали больше миллиона долларов, и это не предел.
Начало октября оказалось очень богатым на утечки персональных данных из баз крупных компаний: сначала на торги выставили лот с информацией по кредитным картам «Сбербанка», а следом похожая история произошла с «Билайном». Что бы ни предпринимали службы безопасности, в системах многих организаций все еще находятся кибердыры, которыми highly likely могут воспользоваться злоумышленники.
Но не все хакеры, способные обнаружить пробелы в защите, применяют свои знания для обогащения преступным путем. Для классификации специалистов по взлому придумали даже специальный набор терминов.
«Черная шляпа» — те самые нарушители закона, с которым большинство собственно и ассоциирует слово «хакер». Но есть и те, кто носит «серые шляпы» — они, как правило, вредят не сильно с точки зрения закона, либо вообще никак, нарушая лишь внутренние правила конкретного сервиса. И, наконец, «белые шляпы», которые вообще никому зла не делают. Чаще всего являются сотрудниками IT-компаний — специалистами по кибербезопасности или глобально работают сами на себя, выявляя прорехи во всевозможных системах любых организаций. Их еще часто называют этичными хакерами или багхантерами (от англ. bug hunter — охотник на «баги»).
По месту регистрации
Хотя «белые» хакеры способны работать и полностью самостоятельно, для них с 2012 года функционирует платформа HackerOne. Там профессиональные взломщики могут регистрироваться, чтобы затем помогать компаниям устранять киберпроблемы. На сегодняшний день на HackerOne прописано более 160 000 этичных хакеров.
Там же обитают такие гиганты, как Sony, Adobe, PayPal, Valve, Twitter и даже Pornhub c Министерством обороны США. Российские компании тоже пытаются взаимодействовать с багхантерами на HackerOne. Среди отчественных нанимателей: «ВКонтакте», «Одноклассники», Mail.ru Group, Kaspersky, QIWI.
На сайте есть своеобразная доска объявлений Hacktivity, где компании описывают конкретную проблему, обозначают уровень критичности и указывают сумму вознаграждения.
Среди последних опубликованных запросов, можно увидеть, например, что Valve сейчас ставит сразу две задачи. За первую назначена награда в 2000 долларов, за вторую — 9000 долларов. Это не значит, что все такие щедрые — все зависит от масштаба проблемы и от подхода компании.
«Размер вознаграждения зависит от серьезности уязвимости, минимальная награда — 100 долларов США. Выплату получает только первый исследователь, который сообщил об ошибке. Эксплуатировать уязвимости против пользователей «ВКонтакте» нельзя — это станет причиной для отказа в выплате», — рассказали Daily Storm в пресс-службе соцсети «ВКонтакте».
У Mail.ru, например, средняя награда за одну уязвимость составляет 200-275 долларов.
Глобально разброс зарплат довольно большой: у того же Twitter можно найти работу как за 280 долларов, так и за 1540 и выше. А сотрудничество с Pornhub и вовсе может получиться весьма выгодным — от 250 до 15 000 долларов, в зависимости от масштабов трагедии.
Есть и те, кто совсем ничего не предлагает, кроме слов благодарности. Среди них Министерство обороны США, у которого в разделе о возможных плюшках написано, мол, ценим ваши усилия, если хотите, можем публично рассказать о том, как вы нам помогли.
Некоторые компании благодарят своим мерчем, например Sony, которая отправляет хакерам фирменные футболки.
В некотором смысле заработок багхантеров можно назвать нестабильным, но при этом общий объем доходов за 2018 год оказался весьма внушительным. Российские этичные хакеры заработали 1 296 018 долларов.
«В этом году мы повысили размер максимального вознаграждения до беспрецедентных 15 000 долларов. Это связано с выходом на рынок браузера Atom. 15 000 долларов получит багхантер за одну обнаруженную уязвимость в Atom, если она относится к типу RCE (возможность выполнения произвольного кода в браузере при заходе на вредоносный сайт)», — отметили в Mail.ru Group.
За работу с другими продуктами Mail.ru (почта, «облачное» хранилище) вознаграждение доходит до 10 000 долларов. А всего за пять лет работы на HackerOne компания выплатила 400 000 долларов багхантерам за 2600 решенных проблем. «ВКонтакте», в свою очередь, выписала вознаграждений на 275 000 за четыре года. И достались они 382 багхантерам.
«По скорости устранения багов «Почта» и «Облако» находятся на одном уровне с таким брендами как Tesla, Paypal и другими», — объяснили Daily Storm в пресс-службе Mail.ru Group, почему компании выгодно работать с багхантерами.
Как стало известно Daily Storm, в ближайшее время на платформу HackerOne зайдет еще один российский игрок — сервис по сбору донатов для стримеров DonationAlerts.