Bug Bounty: сколько можно заработать и советы эксперта

Автор: ProTraffic
12 декабря 2022

Мы привыкли слышать, что хакеры делают плохие вещи, за ними обязательно охотятся правоохранительные органы и карьера взломщика может закончиться за решеткой. Этот набор стереотипов формировался много лет, поэтому многие новички считают их правдивыми.

Релиз Аркады от CatAffs: лови хайп и лей на чистую базу!
Релиз Аркады от CatAffs: лови хайп и лей на чистую базу!
Реклама

В статье мы разрушим мифы профессии хакера и расскажем о направлении этичного хакинга. Разберемся, можно ли заработать на легальном взломе, какие навыки для этого нужны и поделимся советами эксперта. 

Что такое баг баунти

Bug Bounty — собирательное название программ поощрений за поиск багов и уязвимостей. Компании разного уровня заинтересованы в том, чтобы хакеры не пользовались пробелами в системе безопасности для обогащения, а отправляли отчеты им и зарабатывали на этом. 

К примеру, в начале ноября стали известны подробности схемы покупки дешевой подписки Telegram Premium. Оказалось, что исследователи безопасности нашли баг, который позволял оформлять премиум-услугу бесплатно. Они использовали его для заработка, и мессенджер потерял на этом от 3 до 5 млн долларов. 

В качестве альтернативы можно было подать отчет по программе Telegram Bug Bounty и заработать минимум несколько тысяч долларов. Размер вознаграждения колеблется от 100 до 100 000$, но за уязвимость критического уровня, скорее всего, исследователи получили бы достойное вознаграждение. 

В случае с багом в Телеграме «белые» хакеры пошли другим путем. В итоге они получили много денег и тысячи жалоб от недовольных клиентов, которым мессенджер обнулил подписки в конце октября. 

Программы Bug Bounty есть преимущественно у крупных IT-компаний, которые заинтересованы в том, чтобы сохранить репутацию и защитить персональные данные клиентов от утечки. Например, платежный сервис VK Pay платит до 1,8 млн рублей за уязвимости разного характера. В программе четко описаны критерии для принятия отчетов, домены для анализа и другие данные. 

Bug Bounty: сколько можно заработать и советы эксперта
Условия программы VK Pay

Аналогичные программы есть у Google, Facebook*, Amazon, Discord, Microsoft и других брендов. С ними выгоднее работать, чем с локальными компаниями, потому что шансы получить вознаграждение в случае успешного принятия отчета гораздо выше. 

Какие навыки нужны для поиска багов?

Человеку без технического образования может показаться, что компании платят исключительно за критические уязвимости, и повторить результаты опытных коллег невозможно. На самом деле, для периодического заработка на Bug Bounty необязательно знать в совершенстве Python, JavaScript или другие языки программирования. Достаточно владеть базовыми инструментами вроде анализаторов кода и понимать принципы работы разных типов уязвимостей. 

В интервью медиа Skillbox один из багхантеров отметил, что умеет писать несложный код, но даже такой уровень знаний обеспечивает постоянные приглашения в закрытые программы Bug Bounty, куда не берут случайных людей. 

Часть задач по поиску уязвимостей можно автоматизировать. У специалистов по безопасности пользуются спросом анализаторы кода вроде PVS-Studio, которые сканируют ошибки и помогают определить направление для проверки уязвимостей. 

Bug Bounty: сколько можно заработать и советы эксперта
Интерфейс расширения PVS-Studio

Компании больше всего заинтересованы в том, чтобы закрывать критические баги. Они готовы щедро платить за это, но новичкам будет сложно их обнаружить. Расстраиваться не стоит — заработать можно и на небольших уязвимостях.

К примеру, хакер обнаружил маленькую уязвимость с параметром utm_source в конструкторе интернет-магазинов Shopify, которая позволяла украсть cookies пользователя или создать фишинговую страницу. Компания посчитала, что проблема не влияет на конфиденциальность, но выплатила бонус в размере 700$.

Bug Bounty: сколько можно заработать и советы эксперта
Отчет с выплатой

Пример Shopify наглядно демонстрирует, что зарабатывать на багхантинге можно и без знания языка программирования. Для обнаружения уязвимостей межсайтового скриптинга (XSS) достаточно понимания принципов работы сетевых протоколов. 

Компаниям интересно работать с отчетами по уязвимостям любого уровня, но есть две главные метрики, которые влияют на получение оплаты: 

  1. Возможность повторения сценария атаки.
  2. Влияние на стабильность проекта.

Если инженеры компании не смогут использовать уязвимость на практике, багхантер останется без выплаты. Что касается уровня критичности, то все зависит от конкретного кейса. Например, если в ходе атаки получится узнать никнейм пользователя, вряд ли за это заплатят.

Где искать программы баг баунти?

Интерес к Bug Bounty как инструменту для манимейкинга высокий, но медийность ниши на просторах СНГ низкая. Поэтому многие пользователи даже не знают, что можно заработать на поиске багов и уязвимостей.

В бурже есть площадки, которые работают более 10 лет и успешно помогают найти точки соприкосновения между исследователями безопасности и компаниями. Новичкам обязательно стоит добавить их в список повседневных инструментов.

На какие ресурсы обратить внимание:

  1. HackerOne. Самая популярная платформа с большим каталогом Bug Bounty программ. С помощью нее этичные хакеры могут отправить отчет об уязвимостях, а компании — отреагировать на них. 
  2. Bugcrowd. Краудсорсинговая платформа работает в 30 странах мира. В каталоге доступно 332 программы от проектов разного уровня. 
  3. HackenProof. Сервис для поиска уязвимостей в криптопроектах. С помощью него хакеры отправили более 7 1000 отчетов на сумму 842 000$.
  4. Standoff 365. Свежая платформа с упором на рынок СНГ. Ее можно назвать мини-соцсетью для багхантеров. Здесь есть каталог программ, профили хакеров, рейтинг пользователей и другие фишки.
Bug Bounty: сколько можно заработать и советы эксперта
Площадка для русских багхантеров

Мониторинг профильных площадок помогает оперативно замечать новые программы и быть в числе первых исследователей безопасности, которые начнут поиск уязвимостей раньше других. 

Ресурсы для багхантеров также помогают прокачивать скиллы. Можно проанализировать, какие типы уязвимостей находят опытные специалисты и перенять их опыт для получения аналогичных результатов в будущем.

Сколько можно заработать на Bug Bounty

Когда новички спрашивают, сколько можно заработать на арбитраже, они могут получить стандартный ответ: от нуля до миллионов долларов. С доходом от Bug Bounty аналогичная ситуация.


В 2018 году площадка HackerOne проводила опрос и выяснила, что для большинства исследователей безопасности поиск багов и уязвимостей — хобби, а не основная специализация. Они занимаются этим преимущественно в свободное время. 

HackerOne позволяет отслеживать публикацию отчетов хакеров. Из них можно сделать вывод, что специалисты ведут активность без перерыва. За месяц может набраться несколько десятков репортов, и это только маленькая часть данных в общем доступе. 

Bug Bounty: сколько можно заработать и советы эксперта
Отчеты об уязвимостях появляются регулярно

По результатам масштабного исследования HackerOne отчиталась о том, что только за 2020 год участникам программ Bug Bounty выплатили вознаграждений на 40 млн долларов. 9 членов сообщества заработали на платформе более $1 млн с 2019 года, а топовый хакер преодолел отметку в $2 млн в 2020 году. 

В интервью Skillbox, которое мы отмечали раньше, багхантеры говорят о непостоянности дохода. В один месяц они могут заработать 10 000$, а в другой 100$. Эта ситуация очень напоминает качели в арбитраже трафика, но то, что новички могут заработать, — это факт. 

Bug Bounty: сколько можно заработать и советы эксперта
Автор отчета получил 2 500$ за найденную уязвимость в сервисе кеширования, которую компания ранее не до конца исправила

В некоторых случаях вознаграждение может достигать суммы с тремя нулями, но такие деньги зарабатывают опытные специалисты. Новичкам не стоит рассчитывать на быстрый профит. 

Выводы и советы эксперта

Багхантинг — интересная, но специфическая ниша в манимейкинге. Порог входа низкий, и начинающие специалисты часто переоценивают свои силы или допускают грубые ошибки. К примеру, они считают, что компания обязательно должна заплатить за баг. Но как показывает практика, все зависит от особенностей конкретной ситуации. Некоторые багхантеры завершают карьеру из-за конфликтов, связанных с тем, что проект отказывается выплачивать вознаграждение. 

Важно понимать, что если на сайте компании нет официальной оферты с конкретными обязательствами, любые программы поощрений носят необязательный характер. А вот если соглашение есть и хакер сможет найти критическую уязвимость, за невыплату вознаграждения можно подать в суд.

Компания может не оплатить потраченное время, если посчитает поведение специалиста некорректным. И ни в коем случае нельзя выкладывать информацию о том, как воспроизвести баг до получения разрешения от разработчиков проекта.

Bug Bounty: сколько можно заработать и советы эксперта
Условия Bug Bounty мессенджера Discord

Участие в Bug Bounty может стать источником дополнительного дохода, но сделать его основной специализацией получается не у всех. В то же время, не в каждой нише можно получить несколько тысяч долларов за 1-2 дня работы.

12 декабря 2022
Для голосования требуется
22
Автор:
ProTraffic
Количество статей:
1337
Рейтинг автора:
134
Количество статей:
1337
Рейтинг автора:
134
поделиться:

Читайте также:

Комментарии (0)
Читатели еще не оставили комментарий, будьте первым
label

Сервис Bankoff, позволявший выпускать карты, прекращает свою деятельность из-за наплыва пользователей  /  Криптобиржа Currency прекращает работать в России  /  Выпустили огненное интервью на YouTube-канале с командой TraffBraza  /  Роскомнадзор запретил на территории России рекламное продвижение Google и её сервисов  /  Новое экзотическое ГЕО от М1 — Эквадор  /  NashStore вместо Google Play: в России запустят аналог магазина приложений для Android  /  

Изменения сохранены
Черновик сохранен
Отправлено на модерацию
Произошла ошибка