A hackereket bizonyos cégek már a 30 ezer dolláros nagyságrendben fizetik, ha érdemleges sérülékenységet fedeznek fel rendszereikben, ráadásul egyre növekszik azoknak a vállalatoknak a köre, amelyek hajlandóak ennyire mélyen a zsebükbe nyúlni. A HackerOne, egy sérülékenységek feltárását koordináló platformot fejlesztő kaliforniai szolgáltató adatai szerint már olyan társaság is van, amelyik évente összességében 900 ezer dollárt költ a bugvadászok jutalmazására.

A HackerOne adatbázisában eddig 50 ezernél is több feltárt sérülékenység és több mint 17 millió dollárnyi, 90 országba fizetett sikerdíj szerepel, a cég nemrég kiadott jelentésében olyan partnerek hibafeltáró programjait vizsgálta, mint az Airbnb, a GitHub, a General Motors, az Intel, a Lufthansa, a Nintendo, az Uber vagy az amerikai védelmi minisztérium.

Egy-egy bug felfedezésével az elmúlt 12 hónapban átlagosan 1923 dollárt lehetett keresni, de 88 esetben a jutalom öt számjegyű volt, vagyis meghaladta a 10 ezer dollárt. Az olyan vállalatok, mint az Apple vagy a Microsoft, már 100 ezer dolláros programokat is indítottak, de a hasonló kezdeményezéseket hirdető cégek kétharmada nagyjából egy ezrest szán a bugok felfedezésére.

Egyre többen érdeklődnek, de még mindig kevesen

A sikerdíjas bugvadász programok a HackerOne The 2017 Hacker-Powered Security Report című jelentése szerint általában alacsonyabb összegekkel indulnak, egyszerűen azért, mert egy átlagos nagyvállalat rendszerei tele vannak biztonsági résekkel. Az idő előrehaladtával és a hibák felfedezésével azonban felértékelődik a dolog, és egyre többet hajlandóak fizetni, hogy fenntartsák a hackerek érdeklődését.

A Google esetében ez például azt jelentette, hogy az elmúlt öt év során a legmagasabb sikerdíj összege 3 ezerről már 100 ezer dollárra emelkedett. A HackerOne tavalyi, 600 résztvevővel készített felmérése szerint az érintett szakemberek 17 százaléka már kizárólag a bugvadász programokból él, további 26 százalékuknál pedig az éves bevételük legalább háromnegyede származik ebből a tevékenységből. Érdekesség, hogy a megkérdezettek 90 százaléka 34 év alatti programozó volt.

A hibakereső kezdeményezések még mindig inkább a techcégekre jellemzők, amelyek az összes ilyen program közel kétharmadát jegyzik, azonban a HackerOne szerint már a kormányügynökségek, a média- vagy szórakoztatóipari vállalatok, a bankok és pénzügyi szolgáltatók, illetve a kiskereskedelmi vállalkozások is növekvő érdeklődést mutatnak. Ezzel együtt még közel sem mondható általánosnak: a tőzsdei cégek mindössze 6 százalékának van egyáltalán bármilyen szabályzata azokra az esetekre, amikor valaki közzéteszi az őket (is) érintő IT-biztonsági sebezhetőségek leírását.

A profi bugvadászok már felkéréseket is kapnak

A leggyorsabban az utazási és a vendéglátásban utazó szolgáltatók fizetnek, akik átlagosan a sérülékenység dokumentálásától számítótt 18 nap múlva utalják a sikerdíjat, de az élelmiszeriparban is 19 napra lehet számítani. Nem meglepő, hogy a leglomhábbak a kormányszervek, amelyek esetében átlagosan két hónap is eltelik, mire sikerül anyagiasítani el nem múló hálájukat.

A leggyakoribb a webes alkalmazásokat érintő XSS (cross site scripting), amikor a támadók olyan kódot illesztenek-illeszthetnek a weblapokra, amit más felhasználók is látnak. Ez alól a bankok képeznek kivételt, amelyek esetében az autentikációs megoldások vizsgálatával fedezik fel a legtöbb hibát. A számottevő adatszivárgások tavaly már átlagosan 4 millió dollárjába kerültek az incidenseket elszenvedő társaságoknak, ami a WannaCry zsarolóvírus esetében ennek duplája volt, vagyis a tétek ebben a tekintetben is emelkednek.

A díjazásnak egyébként jellemzően két módja van: a szervezetek ötöde már akkor is hajlandó fizetni, amikor hitelesíti a sérülékenységekről szóló jelentéseket, négyötöd részük azonban csak akkor nyúl a zsebébe, amikor a hibákat már sikeresen ki is javította. A bugvadász programok sokszor egy publikus email-címben merülnek ki, ahová a találatokat várják; emellett azonban léteznek zártkörű, a legelismertebb szakemberek részvételével zajló kezdeményezések is, illetve olyan időhöz kötött, versenyszerű programok, amelyek csak egy rövid periódusban állnak nyitva a meghívott hackerek előtt.