Аналитики багхантингового проекта HackerOne опубликовали очередное исследование об участниках платформы. В 2018 году этичные хакеры получили вознаграждений на $19 млн — немногим меньше, чем за весь период с 2012-го по 2017-й.

К настоящему моменту на HackerOne зарегистрированы более 300 тыс. участников, из которых почти 4000 приняли участие в исследовании. Уже второй год подряд наибольшую долю среди аудитории платформы составляют жители Индии. За ними следуют США, Россия, Пакистан и Великобритания — на эти пять стран суммарно приходится более 50% участников.

Исследователи отмечают, что географическое распределение меняется — если в 2017 году индийские и американские хакеры составляли 43% сообщества, то теперь эта цифра упала до 30%. За последние 12 месяцев к проекту присоединились специалисты из шести новых африканских государств, а число хакеров из Алжира выросло вдвое.

Почти половина «белых шляп» на HackerOne оказалась младше 35 лет. Еще около 9% попали в группу 35–49 лет. Представители старшего поколения занимают совсем небольшую долю, но аналитики отметили, что в 2018-м она увеличилась почти в два раза.

Как и раньше, хакеров чаще всего мотивируют не деньги, а возможность расширить свои горизонты и обменяться знаниями с профессионалами.

Тем не менее, за прошедший год сразу несколько участников получили по $100 тыс. за обнаруженные уязвимости, а для одного хакера сумма вознаграждений перевалила за $1 млн.

Охота за багами становится все более привлекательной для молодых профессионалов. В некоторых странах специалисты в этой области получают в десятки раз больше, чем обычные программисты. Так, в Аргентине их зарплаты различаются в 40 раз, в Таиланде и Египте — более чем в 24, в Индии — в 17, в Гонконге — почти в семь. Этот разрыв, о котором сообщалось и раньше, за прошедший год только вырос.

Основные усилия участников HackerOne сосредоточены на веб-приложениях: свыше 70% респондентов сказали, что больше всего им нравится работать с сайтами, около 7% участников указали бреши в API в качестве любимой темы, а хранилищами данных и Android-приложениями предпочитают заниматься по 3,7% хакеров.

Среди всех возможных брешей первое место по популярности твердо держат XSS-уязвимости. В 2017-м с ними предпочитали работать 28%  «белых шляп», в прошлом году — уже более 38%. На втором месте оказались SQL-инъекции (13,5%), далее в топе расположились фаззинг (7,5%), проблемы бизнес-логики (6,4%) и сбор информации (5,8%).

Исследователи также рассказали об изменении общественного мнения по отношению к хакерам. Как показал опрос 2000 американских граждан, хотя четыре из пяти обывателей по-прежнему считают такую деятельность незаконной, сравнимая доля респондентов признает пользу от обнаружения уязвимостей ПО. Почти две трети участников исследования согласились, что хакеры могут преследовать благородные цели, а граждане 18–35 лет все чаще склоняются к тому, что багхантинг — такая же профессия, как и остальные.

У бизнес-руководителей такая точка зрения пока не получила распространения — аналитики подсчитали, что в 93% компаний из списка Forbes 2000 нет налаженных процедур для обработки сообщений об уязвимостях. Фактически это означает, что бреши остаются неизвестными до самой атаки. Как признались участники HackerOne, в большинстве случаев они отказываются от сотрудничества с организацией, если та не проявляет желания к коммуникации.

Авторы исследования призывают компании изменить позицию, чтобы избежать крупных скандалов наподобие недавней утечки в Facebook и Exactis.

«Хакеры представляют глобальные силы добра, которые совместно борются с проблемами, угрожающими нашему обществу, — говорят исследователи. — Какие бы причины ни приводили «белых шляп» в эту профессию, результатами их работы сегодня пользуется все больше организаций, а наш мир становится безопаснее».

Категории: Аналитика, Кибероборона