Bár jellemzően nem a pénzért csinálják, keresni is jól lehet azzal, ha valaki beszáll a különböző cégek bugbounty programjába. A programok biztonsági résinek feltárásához, a bugbounty programok menedzseléséhez az egyik legnépszerűbb platformot biztosító HackerOne elkészítette a tavalyi évről a jelentését [PDF].

Fiatal, hobbista, de jól is keres...

A hibavadászok jellemzően maguktól ássák bele magukat ebbe a munkába. 58 százalékuk nyilatkozta azt, hogy autodidaktaként szerezte meg a szükséges ismereteket. Ugyanakkor kevesebb mint 5 százalékuk mondta azt, hogy az etikus hackelést hivatalosan, például egyetemi vagy más szakképzési formában sajátította el. Ennek megfelelően sok köztük a hobbista: 37 százalékuknak ez legfeljebb izgalmas kihívás, játék, amit egyéb munkájuk mellett szabadidejükben űznek.

Talán ezzel függ össze az is, hogy zömük fiatal. A HackerOne által megkérdezett 1700 hibavadász 90 százaléka még nem érte el a 35 éves kort, fele még a 25-öt sem. A korosztályokat nézve egyébként a zöm a 18-24 éves korú, a teljes vizsgált kör 45 százaléka tartozik ide.

Érdekes, hogy bár elképesztő pénzek eshetnek le a legtehetségesebbeknek, a válaszadók zömét egyáltalán nem a pénz motiválja. Olyannyira nem, hogy még a szórakozás is megelőzi. A rangsorban egyébként az új technikák tanulásának lehetősége áll az első helyen közel 15 százalékkal, amit a szórakozás és a kihívás követ 14-14 százalékkal. Az, hogy az etikus hackeléssel jól lehet keresni, csupán a negyedik szempont.

Néhányan nagyon jól keresnek vele

A HackerOne összesítése szerint tavaly több mint 20 millió dollárt fizetettek ki vállalatok (ebből közel 16 milliót amerikaiak) a HackerOne-on keresztül hibajavításra. Ebből a pénzből 4 milliót az amerikai, 3 milliót pedig az indiai etikus hackerek tettek zsebre. Rajtuk kívül még az ausztrál és az orosz fehérkalaposok jeleskedtek, összességében 1,3-1,3 millióval gazdagodtak.

Sokkal érdekesebb azonban, hogy mennyit lehet keresni ezzel a munkával. A HackerOne azt vizsgálta meg, hogy egy fehérkalapos csúcsfizetés az adott országban hányszorosa egy átlagos programozói fizetésnek. India és Argentína kiugró ebből a szempontból: egy indiai hibavadász akár a tizenhatszorosát is meg tudja keresni annak, amire programozóként számíthat, egy argentín pedig több mint 15-szörösét. Egyiptomban is jobban megéri felhérkalaposnak lenni, ott a szorzó 8 körül alakul, de még Hongkongban is 7,6. A sor másik végén Szaúd-Arábia áll 1,2-es szorzóval.

Hogy lássuk, mi a helyzet: egy szoftvermérnök átlagos éves jövedelme 100 ezer dollár körül mozog New Yorkban (a képzettségtől és képességektől függően ennél lehet jóval kevesebb, de akár másfélszerese is). De még egy eldugott amerikai városkában is simán meg lehet keresni 60-80 ezret, amennyit körülbelül Szaúd-Arábiában fizetnek egy átlagos szotfvermérnöknek. Ezzel szemben Munbaiban egy programozónak sokszor meg kell elégednie 6-7 ezer dollárral, bár a szerencsésebbek akár a 25-26 ezer dolláros szintet is elérhetik.

Azt sem szabad figyelmen kívül hagyni, hogy ez a munka bizonytalan, mint a kutya vacsorája. A HackerOne-nál nyilvántartott fehérkalaposoknak mindössze 12 százaléka keres legalább 20 ezer dollárt évente hibavadászattal. Három százalék körüli azoknak az aránya, akiknek éves bevétele eléri a 100 ezer dollárt. 350 ezer dollárt viszont csupán a hibavadászok alig több mint 1 százaléka keres. Nem véletlen, hogy a válaszadóknak kevesebb mint 14 százaléka állította, hogy a hibavadászatból származik az éves jövedelmüknek legalább a 90 százaléka.

Mielőtt tehát belevágna abba, hogy átképezze magát hibavadász zsenivé, fontolja meg, hogy bírja-e a stresszt: nem elég ugyanis megtalálni a hibát, azt elsőként is kell jelenteni. Ha ugyanis valaki beelőz, egy fillért sem kapunk.