InvestFuture

Взломайте Пентагон! Он сам вам за это заплатит

Прочитали: 894

У вас когда-нибудь взламывали компьютер? А банковские карты? Хорошо, если нет. Но это не значит, что черные хакеры не смогут до вас добраться. Ведь за 2022 год в их лапы попало более 660 млн записей с персональными данными россиян. Это в 3 раза больше, чем в 2021 году.

Установить сложный пароль, не открывать подозрительные ссылки — этого не всегда достаточно. Ведь черные хакеры могут атаковать не только ваш ноутбук. Часто их цель — сайты и серверы компаний, которые хранят персональные данные. Если удастся взломать их, сразу миллионы записей могут “утечь”, в том числе и ваша.

А бывают и белые хакеры?

Да, так называют тех, кто найдут брешь в киберсистеме — и честно о ней расскажут. Их еще называют “охотниками за ошибками”, или багхантерами. 

Причем работают наши “белые хакеры” далеко не бесплатно. Компании готовы дорого заплатить за найденные у них уязвимости, ведь если ими воспользуется “черный хакер”, выйдет еще дороже. Так что сфера денежная:

  • за баг, случайно обнаруженный в запрещенной в РФ соцсети Facebook, россиянин получил вознаграждение в $40 тысяч от компании;

  • уругвайский школьник от скуки наткнулся на ошибку в сервисах Google, которая принесла ему $10 тысяч.

Взломайте меня, я не против

Дошло до того, что компании сами регистрируют профиль на готовых bug bounty площадках (HackerOne, BugCrowd) или создают собственные. Там же в регламентах описано, что можно “ломать” и сколько багхантер получит за ту или иную уязвимость.

Расходы некоторых компаний на вознаграждения в этой области достигли миллионов долларов, а к 2027 году эксперты прогнозируют рост рынка bug bounty программ до $5,5 млрд. У Пентагона, кстати, есть своя bug bounty программа.

Как взломать Госуслуги и заработать? 

У российского рынка bug bounty свои реалии. В марте 2022 года платформа HackerOne отказалась работать с российскими пользователями. Это неприятно, но не смертельно. Ведь, помимо bug bounty программ отдельных компаний (Яндекса, VK), в стране действуют три собственных платформы:

На них можно посмотреть как число отчетов по ошибкам и общую сумму вознаграждений, так и ознакомиться с самими отчетами. 

И это еще не все, просто половина программ bug bounty у нас закрытые — то есть, для ограниченного круга багхантеров.

Сколько платят?

За найденные уязвимости российские “белые хакеры” могут получить десятки и сотни тысяч рублей. Цена зависит от уровня опасности уязвимости для компании. Например, средняя выплата за критически опасную уязвимость на платформе Standoff 365 Bug Bounty — ₽420 тысяч. Так что российские расценки в целом не ниже общемировых. Больше всего заработать на поиске багов критического и высокого уровня можно в блокчейн-проектах ($5-13 тысяч) и IT-компаниях ($2-6 тысяч). 

Рынок bug bounty будет расти?

Да, и очень сильно и быстро, прогнозируют в Positive Technologies. Среди причин — растущий уровень киберугроз, недоступность в России многих мировых сервисов. К тому же, становится все больше организаций, прибегающих к bug bounty. Пока основной заказчик в России — частный бизнес: банки, онлайн-сервисы, электронная коммерция, разработчики IT-продуктов. 

При этом госсектор может стать дополнительным драйвером для роста отрасли. В феврале 2023 года Минцифры уже запустило проект по поиску уязвимостей в Госуслугах и других ресурсах электронного правительства.

Оцените материал:
(оценок: 38, среднее: 4.5 из 5)
InvestFuture logo
Взломайте Пентагон! Он

Поделитесь с друзьями: