Google, Reddit, Yahoo!... В списке компаний, выплачивающих деньги за обнаружение ошибок, влияющих на безопасность, немало громких названий. Не осталась в стороне и мегапопулярная Open AI: на днях Bloomberg сообщил, что люди, нашедшие баги и уязвимости в чат-боте, смогут рассчитывать на сумму от 200 до 20000 долларов.
Прежде, чем мы дружно побежим разговаривать с ChatGPT и искать «волшебные слова», от которых он может «сломаться», давайте разберемся, что же вообще представляет собой программа вознаграждения за обнаружение уязвимостей, Bug Bounty.
- Саму идею Bug Bounty еще в 90-е годы прошлого века придумал Джарретт Ридлинхафер, работавший в компании Netscape. С тех пор ее взяли на вооружение многие крупные фирмы, занимающиеся разработкой ПО и сайтов.
- Люди, которые выполняют поиск ошибок и уязвимостей, называют баг-хантерами, а также «белыми хакерами».
- Будет ли информация об уязвимости раскрыта после ее исправления, зависит от общего решения баг-хантера и представителей компании, в продукте которой выявлена ошибка. Многим «белым хакерам» публичного признания своих заслуг хочется не меньше, чем вознаграждения.
- В сети немало сайтов-платформ для взаимодействия владельцев ресурсов с баг-хантерами. Представители фирм на них публикуют условия сотрудничества с людьми, ищущими уязвимости и предлагающими варианты «заплаток». Однако иногда «белые хакеры» выходят на своих «клиентов» без посредников.
- Первым баг-хантером, заработавшим на этом поприще миллион долларов, является Сантьяго Лопес, который начал заниматься «белым хакерством» с шестнадцати лет. Деньги за обнаружение уязвимостей он получал с семнадцати, а еще через два года стал миллионером, найдя в общей сложности более полутора тысяч багов. Причем вдохновляет в истории юноши не только сумма его заработка, но и то, что он самоучка.
- Отчет HackerOne за 2018 год показал, что по своей численности российские баг-хантеры, участвующие в программах Bug Bounty, уступают лишь коллегам из Индии и США.
Согласны ли вы с тем, что труд баг-хантеров должен достойно оплачиваться?