Május 26-án elérte a 100 millió dollárt az az összeg, amit a HackerOne (H1) eddigi története során kifizetett fehérkalapos hekkereknek – jelentette be a platform blogján Mårten Mickos vezérigazgató. A 2012-ben elindított platform, amely a termékeiket teszteltető cégeket kapcsolja össze a penetrációs tesztelőkkel és biztonsági kutatókkal, 2014-ben még csak 1 millió dollárnyi kiosztott jutalmnál járt.

A módszer, hogy külső hekkereket is bevonjanak a cégek termékeik sebezhetőségének felderítésébe, az utóbbi évtizedben vált egyre népszerűbbé. Az ötlet, amit szervezett formában a Mozilla és a Google használt először nagyban, a nyílt forráskódú környezetből jött. Az open source világban ugyanis bárki rátalál egy hibára, azonnal megosztja a közösségen belül – vagy ha tudja, akkor javítja, és magát a javítást teszi közkinccsé. A fejlesztő cégek pedig nagyon gyorsan felfedezték, hogy ez számtalan előnnyel jár a csak belső teszteléshez képest: például hatékonyabb és olcsóbb is.

Mennyi hibát találtak 100 millióért?

A cégek a H1 felületén és szabályai szerint hirdetnek hibavadász programot, a hekkerek pedig a H1-től kapják a jutalmat. A platform még egy saját nemzetközi fizetési rendszert is kifejlesztett, hogy a hibavadászok a legkevesebbet veszítsék a nemzetközi banki utalások miatt. Az együttműködést megköszönő poszt szerint ez komoly lökést adott a körülötte kialakuló hekkerközösség növekedésének.

Mårten Mickos azt írja, hogy a H1 elindulása óta kb. 170 ezer biztonsági rést jelentettek be a platformon keresztül, de mindez eltörpül a mintegy 100 millió létező hiba mellett. A H1-vezér számításai szerint már ennek a 170 ezer hibáknak a feltárásával is dollár tízmilliárdokat takarítottak meg a vállalatok, miközben mindössze 100 milliót fizettek.

A kulcspontokat ábrázoló grafikon egyébként jól mutatja a bug bounty-programok – és abban a H1 – népszerűségének növekedését. Az alapítás után kélt évvel, 2014 harmadik negyedévében érték el az 1 millió dollár kifizetett jutalmat, és újabb két év kellett a 10 millió eléréséhez. A következő 10 millióhoz már elég volt egy év is. Onnan pedig lényegében két évente duplázták a kifizetett jutalmat (lásd a grafikont). A közelmúltban volt egyébként a platform legerősebb hete: tavasszal volt olyan hatnapos időszak, amikor összesen 2,4 millió dollár jutalmat fizettek ki.

Mickos szerint mindössze öt év kell ahhoz, hogy elérjék az egymilliárd dollár kifizetett jutalmat.

És mennyit lehet keresni?

A H1 két éve készített egy felmérést, ami vonzó képet festett a jó oldalnak dolgozó hekkerek lehetőségeiről: kötetlen, kreatív munka magas fizetésért. A felmérésből például kiderült, hogy sokkal többet lehet keresni hibavadászattal, mintha az illető szoftvermérnökként dolgozna valahol.

Néhány szerencsés (és nyilván tehetséges) hibavadász milliomos lett. Ők 2019-ben léptek a színre. Az első egy mindössze 19 éves argentin biztonsági kutató, Santiago Lopez volt. Ő tavaly márciusban lépte át az 1 millió dolláros határt. A H1-hez 2015-ben csatlakozott, és azóta közel 1900 sérülékenységet jelentett a platformon. Jelenleg nyolc biztonsági kutató van a milliomos klubban, legutóbb, idén februárban egy német és egy kanadai hekker jutott be.

A nemzetközi mércével mérve extrém fizetés azonban keveseknek adatik meg. A H1-en dolgozó hekkereknek mindössze az 1,1 százaléka keres legalább évi 350 ezer dollárt (111 millió forint), 3 százaléka pedig legalább 100 ezer dollárt (kb. 31,5 millió forint). A biztonsági kutatók 12 százaléka évi 20 ezer dollárt (kb. 6,3 millió forint) tud ebből a H1-en keresztül összekalapálni, ami a világ számos pontján tisztes megélhetést biztosít.