Έχετε αναρωτηθεί ποτέ πόσα χρήματα κερδίσουν οι hackers και οι ερευνητές ασφαλείας που αναφέρουν κενά ασφαλείας και σφάλματα λογισμικού; Για μερικούς, η ανίχνευση ευπαθειών σε sites και εφαρμογές είναι μια πρόκληση ενώ για άλλους είναι μια σημαντική πηγή εσόδων. Τα τελευταία χρόνια, όλο και περισσότερες εταιρείες πληρώνουν hackers για να αναζητήσουν κενά ασφαλείας σε λογισμικά και υπηρεσίες. Αυτή η διαδικασία είναι γνωστή ως “bug bounty προγράμματα“.
Οι εταιρείες ανακοινώνουν τα προγράμματά τους και ζητούν από hackers να προσπαθήσουν να βρουν σφάλματα, με αντάλλαγμα μεγάλα χρηματικά ποσά (που συνήθως καθορίζονται από τη σοβαρότητα του εκάστοτε σφάλματος). Με αυτόν τον τρόπο, οι οργανισμοί ενισχύουν την ασφάλειά τους.
Η HackerOne, που εκτελεί bug bounty προγράμματα για οργανισμούς, όπως το Υπουργείο Άμυνας των ΗΠΑ και η Google, δημοσίευσε νέα δεδομένα σχετικά με τον αριθμό των ευπαθειών που εντοπίστηκαν από hackers (που έχουν εγγραφεί στα projects της) και το χρηματικό ποσό που έλαβαν. Σύμφωνα με τη HackerOne, έχουν αναφερθεί πάνω από 181.000 ευπάθειες και έχουν δοθεί περισσότερα από 100 εκατομμύρια δολάρια.
Η εταιρεία είπε ότι πέρυσι δόθηκαν περισσότερα από 44,75 εκατομμύρια δολάρια σε hackers από όλο τον κόσμο, που συμμετείχαν σε bug bounty προγράμματα. Σε σχέση με το προηγούμενο έτος, υπήρχε αύξηση 86%. Τα περισσότερα χρήματα δόθηκαν σε bug bounty προγράμματα που οργάνωσαν οργανισμοί των ΗΠΑ.
Κάποια σφάλματα μπορούν να φέρουν μεγάλη αμοιβή στους hackers
Σύμφωνα με τη HackerOne, το μέσο ποσό που δίνεται για την ανίχνευση κρίσιμων ευπαθειών έχει φτάσει τα 3.650 $, ενώ το μέσο ποσό που καταβλήθηκε ανά ευπάθεια είναι 979 $. Οι κρίσιμες ευπάθειες αποτελούν περίπου το 8% των συνολικών αναφορών, ενώ οι αναφορές για σοβαρές ευπάθειες αντιπροσωπεύουν το 21%.
“Το hacking παραμένει μια σταθερή πηγή εισοδήματος για ορισμένους hackers“, λέει η πλατφόρμα. Σχεδόν εννέα στους δέκα είναι κάτω των 35 ετών και ένας στους πέντε υποστηρίζει ότι οι hacking δραστηριότητες είναι η μοναδική πηγή εσόδων.
Εκατομμυριούχοι από…. bug bounty προγράμματα
Κατά τα τελευταία 10 χρόνια, εννέα hackers έχουν συγκεντρώσει πάνω από 1 εκατομμύριο δολάρια μέσω της συμμετοχής τους σε bug bounty προγράμματα της HackerOne. Αυτό δείχνει ότι η εύρεση και αναφορά ευπαθειών μπορεί να είναι πολύ κερδοφόρα. Επίσης, πάνω από 200 hackers έχουν κερδίσει περισσότερα από 100.000 $ και 9.000 hackers έχουν κερδίσει “τουλάχιστον κάτι”. Τέλος, οι μισοί από τους hackers που έχουν βρει τουλάχιστον μία ευπάθεια, έχουν κερδίσει 1.000 $ ή περισσότερα.
Όπως είπαμε παραπάνω, για πολλούς hackers, η αναζήτηση σφαλμάτων είναι πρόκληση. Δεν τους ενδιαφέρουν τόσο πολύ τα χρήματα. Οι δεξιότητες που μαθαίνουν μπορούν να κάνουν καλό στην καριέρα τους. Τέσσερις στους πέντε δήλωσαν ότι θέλουν να χρησιμοποιήσουν τις γνώσεις που αποκτούν για μια θέση εργασίας.
Σύμφωνα με το ZDNet, o COVID-19 έχει οδηγήσει σε αύξηση των επιθέσεων σε οργανισμούς και εταιρείες. Ωστόσο, έχουν αυξηθεί και οι hackers που θέλουν να βοηθήσουν εντοπίζοντας και διορθώνοντας σφάλματα, που θα μπορούσαν να χρησιμοποιηθούν από εγκληματίες του κυβερνοχώρου. Αυτό το διάστημα, οι εγγραφές των hackers σε bug bounty προγράμματα έχουν αυξηθεί κατά 59% και οι αναφορές ευπαθειών έχουν αυξηθεί κατά 28%.