A HackerOne statisztikája szerint már 30 ezer dollárt is lehet keresni egy fontosabb sérülékenység felfedezésével, bár egyelőre csak a vállalatok kis része indít célzott bugvadász programokat.

A hackereket bizonyos cégek már a 30 ezer dolláros nagyságrendben fizetik, ha érdemleges sérülékenységet fedeznek fel rendszereikben, ráadásul egyre növekszik azoknak a vállalatoknak a köre, amelyek hajlandóak ennyire mélyen a zsebükbe nyúlni. A HackerOne, egy sérülékenységek feltárását koordináló platformot fejlesztő kaliforniai szolgáltató adatai szerint már olyan társaság is van, amelyik évente összességében 900 ezer dollárt költ a bugvadászok jutalmazására.

A HackerOne adatbázisában eddig 50 ezernél is több feltárt sérülékenység és több mint 17 millió dollárnyi, 90 országba fizetett sikerdíj szerepel, a cég nemrég kiadott jelentésében olyan partnerek hibafeltáró programjait vizsgálta, mint az Airbnb, a GitHub, a General Motors, az Intel, a Lufthansa, a Nintendo, az Uber vagy az amerikai védelmi minisztérium.

Egy-egy bug felfedezésével az elmúlt 12 hónapban átlagosan 1923 dollárt lehetett keresni, de 88 esetben a jutalom öt számjegyű volt, vagyis meghaladta a 10 ezer dollárt. Az olyan vállalatok, mint az Apple vagy a Microsoft, már 100 ezer dolláros programokat is indítottak, de a hasonló kezdeményezéseket hirdető cégek kétharmada nagyjából egy ezrest szán a bugok felfedezésére.

Egyre többen érdeklődnek, de még mindig kevesen

A sikerdíjas bugvadász programok a HackerOne The 2017 Hacker-Powered Security Report című jelentése szerint általában alacsonyabb összegekkel indulnak, egyszerűen azért, mert egy átlagos nagyvállalat rendszerei tele vannak biztonsági résekkel. Az idő előrehaladtával és a hibák felfedezésével azonban felértékelődik a dolog, és egyre többet hajlandóak fizetni, hogy fenntartsák a hackerek érdeklődését.

A Google esetében ez például azt jelentette, hogy az elmúlt öt év során a legmagasabb sikerdíj összege 3 ezerről már 100 ezer dollárra emelkedett. A HackerOne tavalyi, 600 résztvevővel készített felmérése szerint az érintett szakemberek 17 százaléka már kizárólag a bugvadász programokból él, további 26 százalékuknál pedig az éves bevételük legalább háromnegyede származik ebből a tevékenységből. Érdekesség, hogy a megkérdezettek 90 százaléka 34 év alatti programozó volt.

A hibakereső kezdeményezések még mindig inkább a techcégekre jellemzők, amelyek az összes ilyen program közel kétharmadát jegyzik, azonban a HackerOne szerint már a kormányügynökségek, a média- vagy szórakoztatóipari vállalatok, a bankok és pénzügyi szolgáltatók, illetve a kiskereskedelmi vállalkozások is növekvő érdeklődést mutatnak. Ezzel együtt még közel sem mondható általánosnak: a tőzsdei cégek mindössze 6 százalékának van egyáltalán bármilyen szabályzata azokra az esetekre, amikor valaki közzéteszi az őket (is) érintő IT-biztonsági sebezhetőségek leírását.

A profi bugvadászok már felkéréseket is kapnak

A leggyorsabban az utazási és a vendéglátásban utazó szolgáltatók fizetnek, akik átlagosan a sérülékenység dokumentálásától számítótt 18 nap múlva utalják a sikerdíjat, de az élelmiszeriparban is 19 napra lehet számítani. Nem meglepő, hogy a leglomhábbak a kormányszervek, amelyek esetében átlagosan két hónap is eltelik, mire sikerül anyagiasítani el nem múló hálájukat.

A leggyakoribb a webes alkalmazásokat érintő XSS (cross site scripting), amikor a támadók olyan kódot illesztenek-illeszthetnek a weblapokra, amit más felhasználók is látnak. Ez alól a bankok képeznek kivételt, amelyek esetében az autentikációs megoldások vizsgálatával fedezik fel a legtöbb hibát. A számottevő adatszivárgások tavaly már átlagosan 4 millió dollárjába kerültek az incidenseket elszenvedő társaságoknak, ami a WannaCry zsarolóvírus esetében ennek duplája volt, vagyis a tétek ebben a tekintetben is emelkednek.

A díjazásnak egyébként jellemzően két módja van: a szervezetek ötöde már akkor is hajlandó fizetni, amikor hitelesíti a sérülékenységekről szóló jelentéseket, négyötöd részük azonban csak akkor nyúl a zsebébe, amikor a hibákat már sikeresen ki is javította. A bugvadász programok sokszor egy publikus email-címben merülnek ki, ahová a találatokat várják; emellett azonban léteznek zártkörű, a legelismertebb szakemberek részvételével zajló kezdeményezések is, illetve olyan időhöz kötött, versenyszerű programok, amelyek csak egy rövid periódusban állnak nyitva a meghívott hackerek előtt.

Biztonság

Kanadai költözéssel hergeli Trumpot az Amazon

Alighogy az Apple bejelentett 20 ezer új amerikai munkahelyet, az Amazon meglebegtette, hogy 50 ezer állást vihet Kanadába.
 
Hirdetés

Nagy kihívás blockchain szakértőt találni, pedig már van rá igény

Ha kell, projekt alapon, ha kell, klasszikus fejvadász módjára közvetíti az itthon is nagy számban keresett informatikai szakértőket a Bluebird International Zrt.

Hogyan alakítják át a munkaerőpiacon bekövetkezett változások a HR-cégek tevékenységét? Milyen új eszközök és módszerek jelennek meg a fejvadászatban?

a melléklet támogatója a Bluebird

A koncentrált erőforrások kockázatai is koncentráltan jelentkeznek. Az informatikai szolgáltatóknak, felhős cégeknek érdemes lenne körülnézniük a közműszolgáltatóknál, hogyan kezelik ezt a problémát.

Sikeremberektől is tanultak a CIO-k

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Hogyan forradalmasítja a számítástechnikát a nanotechnológia? Majzik Zsolt kutató (IBM Research-Zürich) írása. Vigyázat, mély víz! Ha elakadt, kattintson a linkekre magyarázatért.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport kilencedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2018 Bitport.hu Média Kft. Minden jog fenntartva.