Сколько зарабатывают в баг баунти

Баг-баунти (Bug Bounty) — что это такое и сколько этим можно заработать?

Баг-баунти (Bug Bounty) — процесс обнаружения и сообщения об ошибках в программном обеспечении компаний-разработчиков. Раньше для поиска ошибок применялись силы внутренних разработчиков, но благодаря новому подходу компании могут обратиться к пользователям за помощью, чтобы обнаружить проблемы, не нагружая своих сотрудников лишней работой.

Как работает Bug Bounty?

Компании создают программы, которые позволяют тестировать их программное обеспечение на наличие ошибок. После об этом становится известно интернет-сообществам, которые специализируются на этом, в том числе «белым» хакерам, которые занимаются обнаружением уязвимостей с целью помочь владельцам исследуемых ПО или системы. Пользователи могут зарегистрироваться в этих программах и начать искать ошибки. Когда баг найден, о нем сообщается компании, а после подтверждения проблемы хакер получает денежное вознаграждение. В то же время компания занимается исправлением найденной ошибки.

Зачем нужен Bug Bounty?

Уязвимости могут быть использованы злоумышленниками для получения доступа к конфиденциальной информации, в том числе к персональным данным пользователей. Они также могут использоваться для проведения атак на веб-сайты.

Баг-баунти позволяет компании обеспечивать постоянный анализ безопасности своего программного обеспечения за счет тестирования его сил сторонними специалистами. Кроме того, баг-баунти способствует развитию сообщества исследователей, которые занимаются поиском уязвимостей и улучшением безопасности веб-сайтов и программного обеспечения. При этом компания экономит деньги, так как выплаты за обнаружение уязвимостей могут обходиться ей дешевле, чем содержание штата сотрудников, занимающихся решением проблемы.

Сколько можно заработать на Bug Bounty?

Размер вознаграждения по баг-баунти может значительно варьироваться в зависимости от сложности уязвимости и правил программы, создателями которой являются организации. Некоторые уязвимости могут нести существенную угрозу и, следовательно, оплачиваются гораздо выше. В среднем, исследователи баг-баунти могут заработать от нескольких сотен до нескольких тысяч долларов за найденную уязвимость. Однако нельзя говорить о какой-то общей цифре, так как все зависит от условий программы и самой уязвимости, которую удалось обнаружить.

Успешные баг-баунти-хакеры могут заработать значительные суммы, найдя действительно серьезные проблемы в продуктах компаний. Некоторые известные хакеры заработали сотни тысяч долларов, находя ошибки в продуктах таких крупных компаний, как Facebook, Google, Apple.

Так, В 2020 году Microsoft выплатила исследователям Bug Bounty более 370 000 долларов за найденные ими уязвимости в различных продуктах компании, включая Windows и Office.

Еще одним известным случаем, произошедшим в 2019 году стала история с компанией Capital One, выделившей 100 000 долларов в вознаграждение исследователю за сообщение об уязвимости в своих системах безопасности, которая привела к хакерской атаке и утечке персональных данных более 100 миллионов пользователей.

А в 2021 году Apple заплатила исследователю Бхавуни Санграи 100 000 долларов за нахождение уязвимости в iCloud, которая позволила ему получить доступ к файлам пользователей без их согласия.

Bug Bounty

Изображение сгенерировано нейросетью Stable Diffusion

Инциденты

К сожалению, существуют печальные случаи, связанные с баг-баунти, когда уязвимости, найденные и сообщенные исследователями, не были достаточно серьезно восприняты и своевременно устранены разработчиками. В результате этого злоумышленники смогли использовать эти уязвимости для взлома сайтов, программ и других целей.

Например, в 2015 году компания Ashley Madison, занимающаяся онлайн-знакомствами для женатых людей, стала жертвой кибератаки, в результате которой были украдены данные 37 миллионов пользователей. Подробный анализ показал, что это произошло из-за недостаточного внимания разработчиков к обнаруженной уязвимости, которая была найдена и сообщена исследователями баг-баунти, но не была устранена вовремя.

Также были случаи, когда некоторые компании использовали баг-баунти, чтобы получить бесплатный аудит безопасности своих систем, не собираясь платить денежное вознаграждение исследователям за найденные уязвимости. Такое поведение может снизить мотивацию исследователей продолжать работу и негативно повлияет на безопасность системы.

Однако, несмотря на такие случаи, баг-баунти все еще является важным инструментом для повышения безопасности в Интернете, и многие компании все еще активно используют его. Важно, чтобы они относились к найденным уязвимостям серьезно и своевременно устраняли их, а исследователи получали достаточное вознаграждение за свою работу.

Известные программы

Существует множество программ по баг-баунти, предлагаемых различными компаниями и организациями. Вот некоторые из наиболее известных:

Google Vulnerability Rewards Program — одна из самых крупных и популярных программ по баг-баунти. Google предлагает вознаграждение за найденные уязвимости в своих продуктах и сервисах, включая Gmail, Android, Chrome, Google Play и многие другие.
Apple Security Bounty Program — запущен в 2019 году, Apple предлагает денежные вознаграждения за обнаружение критических уязвимостей в своих продуктах.
Microsoft Bug Bounty Program — Microsoft предлагает вознаграждение за нахождение уязвимостей в Windows, Office, Edge и других продуктах.
Facebook Bug Bounty Program — Facebook выплачивает денежное вознаграждение за нахождение уязвимостей в своих приложениях и сервисах, включая Instagram, WhatsApp и Oculus.
GitHub Security Bug Bounty Program — GitHub предлагает денежные вознаграждения за обнаружение уязвимостей в своей платформе.

Это лишь некоторые из самых известных программ по баг-баунти, и многие другие компании и организации также предлагают свои программы по вознаграждению за нахождение уязвимостей.

Плюсы и минусы Bug Bounty

Bug Bounty является эффективным инструментом для повышения безопасности в интернете. Его плюсы:

Мотивирует исследователей безопасности обнаруживать уязвимости и помогает компаниям быстро и эффективно исправлять их.
Снижает риски для пользователей и компаний, которые работают в Интернете, поскольку обнаруженные и устраненные уязвимости предотвращают возможные кибератаки и взломы.
Помогает компаниям улучшить свою репутацию и доверие пользователей, показывая, что они заботятся о безопасности своих продуктов и сервисов.

Тем не менее, Bug Bounty имеет и ряд минусов:

Некоторые компании могут использовать баг-баунти для получения бесплатного аудита безопасности своих систем, не выплачивая вознаграждение исследователям, что снижает их мотивацию работать.
Может быть объективно сложно оценить стоимость уязвимости и размер вознаграждения, что может привести к недовольству исследователей.
Несмотря на то, что баг-баунти может помочь обнаружить уязвимости и предотвратить кибератаки, это не гарантирует, что они будут полностью исключены, поскольку злоумышленники постоянно ищут новые уязвимости.

Как упоминалось ранее, есть печальные случаи, когда некоторые уязвимости, найденные исследователями, не получили должного внимания со стороны компаний, что привело к серьезным последствиям.

Заключение

Bug Bounty помогает повысить безопасность в интернете, но его использование должно осуществляться осторожно, чтобы избежать возможных негативных последствий. Необходимо находить баланс между мотивацией и вознаграждением исследователей, а со стороны компаний нужна адекватная оценка найденных уязвимостей и их своевременное устранение. Работа в этой области может быть очень эффективной, если ее правильно использовать.

How Much Bug Bounty Hunters Earn

Cyber Security offers several career options but, Bug bounty hunting proved to be a great expansion to this domain. Ethical hackers who find bugs or security issues on an online platform and disclose it to the firm rather than misuse it are labeled as Bug bounty hunters.

However, this field is still obscure and faces a lot of queries such as “Is Bug bounty program only an embellished name for ethical hacking?” “Who can become a Bug bounty hunter?” “How does Bug bounty programs functions?”

In this blog, we will discuss how much bug bounty hunters earn and break some common misinterpretations about Bug bounty hunting.

What Is Bug Bounty Hunting?

Errors or flaws which are often found in computer software, web applications and websites and responsible for corrupting that particular software are called “Bugs”. Industries want their software to function properly for providing a safe and secure environment to the user.

Bug bounty hunting is the method of searching these flaws and reporting it to the website’s security team for some rewards.

How does a Bug Bounty Program Work?

Plenty of ethical hacking courses offer the training and resources to help in developing needed skills for performing Bug bounty hunting on the web applications. There is a certain procedure that a Bug bounty hunter needs to follow for successfully obtaining the bounty in exchange for finding a bug in the system.

Websites or organizations offer a deal by which individuals can receive recognition and compensation for reporting bugs on their online businesses. Most importantly, organizations implementing the Bug bounty program can set policies on the limitations they want to impose on white-hat hackers. How far they want security researchers to test their site and what kind of reward they can expect for reporting a particular vulnerability.

There are various platforms dedicated to helping Bug bounty hunters Hackerone, Bugcrowd, SafeHats, Synack, etc. Several large organizations support Bug bounty programs such as Google, Instagram, Facebook, Apple, Paypal, and many more.

Do Bug Bounty Hunters Make Good Money?

It’s a myth that Bug bounty hunters make money effortlessly and all bug hunters are wealthy. Bug bounty hunters continuously need to work on their skills to become better in their field of knowledge and earn more money.

According to the BBC, Ethical hackers can earn more than $350,000 yearly. Bug bounty programs award hackers an average of $50,000 a month, with some paying out $1,000,000 a year in total.

A bug bounty is not easy money, it requires a lot of self-motivation and patience level for a successful Bug bounty hunting and still, you may end up with nothing at all. However, it can be really enjoyable and profitable if you have the skills, assets, and interests.

Who Can be a Bug Bounty Hunter?

If you are a Cyber Security researcher, Ethical Hacker, Software engineer, Web Developer or someone with high-level computer skills can become a successful Bug bounty hunter. The main requirement of this field is that you need to keep learning and stay aware of the latest technological changes and updates.

A bug bounty is a lucrative career and gained tremendous popularity over the years. Bug bounty programs not only help individual security researchers for furnishing their careers but also online websites and applications in creating a safe platform for the users to visit.

Зарабатываем от 15.000$ на багхантинге.

https://t.me/slivshemtg

В чем суть Багхантинга:

Само явление получило название Bug Bounty («вознаграждение за ошибку»). Программы Bug Bounty реализованы многими известными компаниями, например, «Facebook», «Google», «Яндекс», «Вконтакте» и в принципе любой сервер будет благодарен тем, кто поможет им выявить ошибки в работе их цифровых продуктов.

Самые известные Bug Bounty платформы:

В основном все багхантеры — фрилансеры, а иногда и просто «добровольцы», поэтому они не имеют в своей деятельности каких-либо ограничений, и могут искать любые уязвимости, которые смогут найти. Также они вольны сами выбирать место своего заработка: искать заказы на специальных платформах, либо же проявлять собственную инициативу и тестить любые понравившиеся сайты или приложения. Все что нужно после выявления багов – отправить подробный отчет в техническую поддержку и получить заслуженное вознаграждение.

Подробнее о том сколько можно заработать:

Самыми популярными платформами среди багхантеров считаются HackerOne и Bugcrowd, так как на них чаще всего появляются новые заказы. Политика сайтов защищает интересы как заказчиков, так и исполнителей, поэтому первым можно не беспокоиться о сохранности своих данных, а багхантеры могут быть уверены, что точно получат свой ганорар за выполненную работу.

Размер оклада зависит от уровня критичности найденных уязвимостей. На этих сайтах у исполнителей существует рейтинг, который повышается с количеством выполненных заданий. Для багхантеров с высоким рейтингом открывается доступ к приватной программе, где крупные компании размещают уже более серьезные задания, а значит, назначается и более щедрое вознаграждение.

Заработок на этих сайтах начинается от 50$ и может доходить и до 50 000$

Источник сайт bugcrowd.com Источник сайт hackerone.com

Также недавно появились российские аналоги сайтов: BugBounty.ru и The Standoff 365. Заработок на этих платформах может составлять от 0 до 400 000 руб.

Источник сайт standoff365.com

Многие сайты, например, такие как «Яндекс», на своих ресурсах имеют специальные программы поощрений для багхантеров. Яндекс за найденные ошибки платит от 5 000 до 750 000 руб.

Источник сайт yandex.ru Источник сайт yandex.ru

И, как было написано ранее, можно уйти в абсолютный фриланс и искать ошибки на любых сайтах и приложениях, а дальше самостоятельно связываться с тех поддержкой и договариваться о цене.

Как стать охотником:

Какие знания необходимы багхантерам и где всему этому обучаться? Как сама работа, так и обучение в этом направлении предполагают самостоятельный поиск и самообразование. Но начать может каждый, у кого достаточно знаний и навыков – от охотников требуется только грамотный отчет с найденными ошибками, и прикреплять к нему дипломы, сертификаты или справку с последнего места работы не потребуется.

Чтобы уметь находить ошибки, и чем разнообразнее и сложнее они будут, тем лучше, необходимо разбираться в следующих направлениях:

Все о тестировании: методы, типы и виды, уметь работать с разными шаблонами проектирования;
Разбираться в архитектуре веб-приложений;
Понимать, как работают протоколы HTTP, DNS, TCP;
Знать языки программирования (Python, Java, MySQL, PHP и др. – опять же, количество здесь выступает приемуществом)
Практиковаться на тренажерах, например, «Hack The Box»;
Читать дополнительную литературу и изучать открытые отчеты по найденным уязвимостям (они есть также на сайте «HackerOne»);
Развивать нестандартное мышление – логические тренажеры точно помогут подходить к поиску более внимательно.

Сайт «HackerOne» запустил бесплатный курс «HACKER101», который могут пройти все желающие. На нем обучают:

Как выявлять, использовать и устранять основные уязвимости веб-безопасности, а также многие другие скрытые ошибки;
Как правильно обращаться с криптографией;
Как разрабатывать и анализировать приложения с точки зрения безопасности;
Как начать работать багхантеру

Чем отличаются багхантеры от других специалистов:

В цифровом сказочном мире тоже существуют белые и черные волшебники. Белые хакеры работают во благо человечества и свои способности для взлома применяют только из добрых побуждений. Носят они белые шляпы, и в их деятельность также входит выявление ошибок и уязвимостей. В отличие от багхантеров, «мирных жителей», белые, этичные хакеры выступают в качестве атакующей стороны, поэтому и специфика проблем, которыми они обычно занимаются, затрагивает только определенные сегменты. К тому же для хакеров взломы стали уже больше соревнованием или отдельным видом киберспорта. И чаще всего соревнуются в своих навыках по взлому на сайте CTFtime.

У тестировщиков, обладателей официальной работы со стабильным окладом, тоже ограничена сфера деятельности. В их работе основная ориентация идет на потребности пользователей, поэтому в первую очередь они следят за исправностью тех программ и функций, которыми чаще всего пользуются посетители сайта. С такой загруженностью невозможно проследить все ошибки, которые возникают, а думать о планах злоумышленников тем более некогда.

Багхантеры же птицы свободного полета, и в отличие от смежных направлений, они могут сами выбирать ошибки, которыми хотят заниматься, и никаких ограничений в их деятельности нет.

Истории успеха

Стать стабильным ежемесячным доходом багхантинг не сможет. Можно браться только за высокооплачиваемые заказы, но задачи и необходимое для их решения время – всегда будут разными. В процессе выполнения одного задания, вполне возможно, что будут выявлены еще и другие ошибки или уязвимости.

А иногда можно разово выиграть в лотерею или сорвать большой куш на одной ошибке. И примеров таких счастливчиков среди багхантеров не мало.

Беларуский Android-разработчик Дмитрий Лукьяненко (по поводу правильности написания фамилии: на сайте Google и на чеке указано Лукьяненка, во всех российских СМИ о нем пишут как Лукьяненко) в 2018 году за найденные баги получил гранты от «Google» 12 раз подряд. Один грант составляет 1337$, эту выплату даже назвали в его честь «1 dmitry». Сейчас Дмитрий входит в топ 20 лучших багхантеров гугла (сейчас на 13 месте).

А за один найденный баг на сайте «Facebook» он получил сразу $15 000.

Еще одна успешная история с компанией «Facebook» произошла у российского программиста Андрея Леонова: Компания за найденную ошибку отправила Андрею чек на 40 000$. На тот момент, в 2017 году, это были рекордные выплаты за багхантинг от «Facebook».

В чем заключается суть уязвимости?

На Facebook есть страница, где можно расшарить новость: написать содержание поста, прикрепить фотографию. Часть скрипта отвечает за обработку изображения, то есть запрашивает его с одного сервера и перекачивает на сервер Facebook. Так вот эта часть была построена с помощью уязвимой библиотеки ImageMagick — это очень известная и распространенная библиотека, которая позволяет производить некие манипуляции с изображением, в частности, менять их размер и формат. К концу года несколько исследователей безопасности обнаружили, что она уязвима к нескольким типам уязвимости, и к началу мая ImageMagick выпустили исправления.

Когда я наткнулся на эту страницу, то подумал, что раз тут происходит конвертация, то, наверное, можно ее проверить. Но, честно говоря, последнее, о чем я думал, так это о том, что Facebook где-то забыл обновить библиотеку с уязвимой версии на неуязвимую. Ты этого не ожидаешь, но, с другой стороны, в такой большой инфраструктуре, как Facebook, такое возможно. Представьте: у них 10 000 серверов и, допустим, на двадцати они забыли обновить.

Для пользователя всё работало. Но при определенных воздействиях можно было исполнить код на серверах компании Facebook, то есть получить доступ к данным, которые там хранятся. Какие там были данные, я, естественно, не знаю, потому что, по правилам участия в программе Facebook и других компаний, исследователь не имеет права лезть дальше. Он находит какую-то точку входа — и на ней должен остановиться, потому что иначе в лучшем случае лишится выплаты, в худшем — к нему применят все возможные меры как к хакеру уже в плохом смысле слова.

В России также есть случаи «случайных» вознаграждений: за найденную уязвимость на сайте для своей клиентки компания ПИК продала квартиру по первоначальной цене, и даже сделала дополнительную скидку на 100 тысяч рублей.

Сколько топовые хакеры зарабатывают на Bug Bounty-программах

Можно ли разбогатеть на Bug Bounty? Для одних поиск уязвимостей в сайтах и приложениях – развлечение типа кроссворда, для других — это основной источник дохода.

Плата хакерам за поиск дефектов в программном обеспечении или сервисах становится все более распространенным явлением. Программы «Bug Bounty» позволяют хакерам получать деньги за обнаружение уязвимостей, в то время как организации получают выгоду от возможности улучшить безопасность, заплатив несколько тысяч долларов за каждую ошибку.

Платформа «HackerOne», которая организует запуск программ вознаграждения за найденные уязвимости для организаций, включая Министерство обороны США и Google, опубликовала новые данные о количестве обнаруженных хакерами уязвимостей и об оплате за их обнаружение. На сегодняшний день зарегистрировано более 181 000 уязвимостей, а хакерам, подписавшимся на сервис, выплачено более ста миллионов долларов.

Компания сообщила, что за прошедший год хакеры по всему миру получили более $44,75 млн. в виде бонусов, что на 86 процентов больше чем в прошлом году. Подавляющее большинство выплат производится организациями из США.

Некоторые баги могут принести достойную награду. HackerOne заявил, что средняя сумма, выплаченная за критические уязвимости, увеличилась до $3,650. Это на восемь процентов больше, чем в прошлом году, в то время как средняя сумма, выплаченная за одну уязвимость, составляет $979. Критические уязвимости составляют около 8% всех заявленных, уязвимости высокой степени серьезности — 21%.

HackerOne заявили, что «хакерство оставалось постоянным и стабильным источником дохода» для некоторых зарегистрированных хакеров. Почти девять из десяти хакеров младше 35 лет и каждый пятый заявил, что хакерство является их единственным источником дохода.

Миллионеры Bug Bounty

Девять хакеров менее чем за десять лет накопили по миллиону долларов общего заработка через HackerOne, что свидетельствует о том, что охота за уязвимостями может быть хорошо оплачена для элиты. Более 200 хакеров заработали свыше 100 000 долларов, а 9000 участников программ заработали «хотя бы что-то». Из хакеров, нашедших хотя бы одну уязвимость, половина заработала $1000 и более.

Даже если многие участники не зарабатывают миллионы на Bug Bounty, навыки, которым они овладевают в процессе, могут косвенно принести пользу их карьере; четверо из пяти опрошенных сообщили, что они будут использовать навыки и опыт, полученные во время взлома, чтобы найти высокооплачиваемую работу.

Глобальная вспышка коронавируса, похоже, привела к всплеску вредоносных атак на бизнес, но она же вызвала рост числа исследователей, которые хотят помочь найти и исправить уязвимости безопасности. HackerOne сообщили, что число новых участников увеличилось на 59% за месяцы, прошедшие после начала пандемии, в то время как число сообщений об уязвимостях увеличилось на 28% — возможно, из-за того, что многие люди были вынуждены оставаться дома, что дало им больше времени для охоты на баги.

Со временем охота за уязвимостями становится сложнее. По мере того, как организации устраняют все больше недостатков безопасности, увеличивается средняя величина награды за новые баги, что является позитивным трендом для исследователей безопасности. В то же время оставшиеся уязвимые места в корпоративной защите становятся более сложными для выявления, что требует большего мастерства и усилий «охотника».