Багхантинговая платформа HackerOne выяснила, что лучшие «белые шляпы» получают почти в три раза больше, чем средний разработчик ПО. Таковы результаты исследования, которое охватило 1700 специалистов из 195 государств.

Аналитики отмечают, что интерес к отлову ошибок активно растет в развивающихся странах, где награда за серьезную уязвимость может в 10 и более раз превышать среднюю зарплату программиста. Так, в Индии доход топового багхантера оказался в 16 раз выше, чем у рядовых разработчиков ПО. В Аргентине этот коэффициент составил 15,6, в Египте — 8,1, в Гонконге — 7,6, на Филиппинах — 5,4, в Латвии — 5,2.

Россия не попала в этот список, хотя отечественные киберспециалисты заработали в прошлом году почти столько же, сколько австралийские — около $1,3 миллионов. Это обеспечило им четвертое место по сумме вознаграждений. При этом российские участники составляют 6% аудитории HackerOne, замыкая первую тройку после Индии (23%) и США (20%).

В развитых странах разрыв крупнейших багхантинговых доходов со средними рыночными зарплатами оказался меньше: в 2,4 раза в США, в 2,5 в Канаде, в 1,8 в Германии и в 1,6 в Израиле.

В прошлом году компании выплатили через HackerOne более $15 миллионов, однако деньги привлекают ИБ-специалистов в багхантинг лишь в четвертую очередь. Опрошенные выделили следующие причины для участия в подобных программах:

  1. Возможность получить новые навыки и познакомиться с неизвестными технологиями — 17%.
  2. Решение сложных задач, ответ на профессиональный вызов — 14%.
  3. Развлечение — 14%.
  4. Возможность заработать — 13,1%.
  5. Открытие новых карьерных перспектив — 12,2%.

Четверть благородных взломщиков жертвует полученные доходы некоммерческим и благотворительным организациям — в Фонд электронных рубежей (Electronic Frontier Foundation), «Красный крест», «Врачи без границ», местные приюты для животных. В этом случае Google, Qualcomm, Facebook и прочие компании кратно увеличивают вознаграждение.

Поиск уязвимостей остается для большинства участников хобби, которое они не планируют делать основным занятием. Только 14% назвали багхантинг основным или единственным источником дохода. При этом 12% заработали за год больше $20 тысяч, отметку в $100 тысяч преодолели около 3% опрошенных, $350 тысяч — 1,1%.

Ранее журнал PC News изучил самые крупные выплаты по программам bug bounty. На первом месте оказалась Microsoft, которая в 2012 году вручила бакалавру Колумбийского университета $200 тысяч за уязвимость с применением возвратноориентированного программирования.

Министерство обороны США и программа Hack the Pentagon заняли вторую строчку. В 2016 году хакеры получили в рамках этой bug bounty $150 тысяч за 138 обнаруженных уязвимостей — по словам тогдашнего главы ведомства Эштона Картера (Ashton Carter), это на $850 тысяч меньше, чем потребовали бы профессиональные аудиторы. Год спустя сумма вознаграждений превысила уже $300 тысяч, а число уязвимостей — 500 единиц. Кроме того, участники программы помогли закрыть почти 3000 брешей безвозмездно.

Корпорация Google, которая запустила bug bounty еще в 2010 году, заплатила за эти годы $9 миллионов, причем треть затрат пришлась на 2016 год. Тогда же она выдала самую крупную награду — $100 тысяч за уязвимость, о которой компания не стала сообщать подробности.

Авиаперевозчик United Airlines предпочитает расплачиваться с багхантерами собственными бонусами. Два специалиста в 2015 и 2016 годах получили от нее по миллиону авиационных миль — этого достаточно, чтобы 20 раз облететь США.

Пятерку замыкает Facebook — российский специалист по ИБ обнаружил уязвимость функции «Поделиться новостью», за что соцсеть заплатила $40 тысяч.

Категории: Аналитика, Хакеры