У вас когда-нибудь взламывали компьютер? А банковские карты? Хорошо, если нет. Но это не значит, что черные хакеры не смогут до вас добраться. Ведь за 2022 год в их лапы попало более 660 млн записей с персональными данными россиян. Это в 3 раза больше, чем в 2021 году.
Установить сложный пароль, не открывать подозрительные ссылки — этого не всегда достаточно. Ведь черные хакеры могут атаковать не только ваш ноутбук. Часто их цель — сайты и серверы компаний, которые хранят персональные данные. Если удастся взломать их, сразу миллионы записей могут “утечь”, в том числе и ваша.
А бывают и белые хакеры?
Да, так называют тех, кто найдут брешь в киберсистеме — и честно о ней расскажут. Их еще называют “охотниками за ошибками”, или багхантерами.
Причем работают наши “белые хакеры” далеко не бесплатно. Компании готовы дорого заплатить за найденные у них уязвимости, ведь если ими воспользуется “черный хакер”, выйдет еще дороже. Так что сфера денежная:
-
за баг, случайно обнаруженный в запрещенной в РФ соцсети Facebook, россиянин получил вознаграждение в $40 тысяч от компании;
-
уругвайский школьник от скуки наткнулся на ошибку в сервисах Google, которая принесла ему $10 тысяч.
Взломайте меня, я не против
Дошло до того, что компании сами регистрируют профиль на готовых bug bounty площадках (HackerOne, BugCrowd) или создают собственные. Там же в регламентах описано, что можно “ломать” и сколько багхантер получит за ту или иную уязвимость.
Расходы некоторых компаний на вознаграждения в этой области достигли миллионов долларов, а к 2027 году эксперты прогнозируют рост рынка bug bounty программ до $5,5 млрд. У Пентагона, кстати, есть своя bug bounty программа.
Как взломать Госуслуги и заработать?
У российского рынка bug bounty свои реалии. В марте 2022 года платформа HackerOne отказалась работать с российскими пользователями. Это неприятно, но не смертельно. Ведь, помимо bug bounty программ отдельных компаний (Яндекса, VK), в стране действуют три собственных платформы:
-
Bugbounty.ru;
-
Standoff 365 Bug Bounty (от Positive Technologies);
На них можно посмотреть как число отчетов по ошибкам и общую сумму вознаграждений, так и ознакомиться с самими отчетами.
И это еще не все, просто половина программ bug bounty у нас закрытые — то есть, для ограниченного круга багхантеров.
Сколько платят?
За найденные уязвимости российские “белые хакеры” могут получить десятки и сотни тысяч рублей. Цена зависит от уровня опасности уязвимости для компании. Например, средняя выплата за критически опасную уязвимость на платформе Standoff 365 Bug Bounty — ₽420 тысяч. Так что российские расценки в целом не ниже общемировых. Больше всего заработать на поиске багов критического и высокого уровня можно в блокчейн-проектах ($5-13 тысяч) и IT-компаниях ($2-6 тысяч).
Рынок bug bounty будет расти?
Да, и очень сильно и быстро, прогнозируют в Positive Technologies. Среди причин — растущий уровень киберугроз, недоступность в России многих мировых сервисов. К тому же, становится все больше организаций, прибегающих к bug bounty. Пока основной заказчик в России — частный бизнес: банки, онлайн-сервисы, электронная коммерция, разработчики IT-продуктов.
При этом госсектор может стать дополнительным драйвером для роста отрасли. В феврале 2023 года Минцифры уже запустило проект по поиску уязвимостей в Госуслугах и других ресурсах электронного правительства.
