Елитни хакери на свободна практика печелят повече от 500 000 долара годишно, за да търсят на пропуски в компютърната сигурност на големи американски компании и държавни ведомства и да им ги докладват. Това показват нови данни, публикувани от етичната хакерска платформа Bugcrowd.
Компанията, създадена през 2012 г., е една от малкото, наречени "ловци на бъгове". Подобни фирми осигуряват платформа за хакери, за да изследват пропуските в сигурността на компании, които искат да бъдат тествани.
Хакерите работят върху точно определен договор за конкретна компания и получават възнаграждение, щом успеят да открият недостатък в инфраструктурата на компанията. Колко ще получат зависи от това колко сериозен е проблемът, пише CNBC.
Компаниите все повече търсят алтернативи за тестване на киберсигурността, тъй като милиони работни места в тази област остават незаети, казва изпълнителният директор на Bugcrowd Кейси Елис. Според някои оценки до 2021 г. може да останат отворени до 3.5 млн. кибер работни места.
Миналата година компанията получи най-голямото плащане за еднократен експлойт - 113 000 долара за бъг, открит в системата на голяма технологична хардуерна компания. През 2018 г. плащанията за подобни услуги се увеличават с 37% на годишна база, по данни на компанията.
Половината от етичните хакери - или експерти по сигурността, наети за проникване в мрежи и компютърни системи от името на техните собственици - работят на пълен работен ден, според проучването.
Около 80% твърдят, че начинанието им е помогнало да бъдат наети на работа в областта на киберсигурността. Средната годишна заплата при най-добрите 50 хакери достига 145 000 долара, твърди Елис.
Хакерите, които печелят най-много, притежават определени основни умения. "Те откриват специален клас на уязвимост и след това я търсят отново и отново в различни компании. Те ще обикалят киберпространството и ще се опитат да намерят толкова възможности да се възползват от тази уязвимост, колкото могат", обяснява Елис.
"Те имат и добри разузнавателни умения и са в състояние да разберат какво може да причини най-много щети на дадена организация. Добро усещане за това как работят фирмите или как е изградена тяхната инфраструктура е наистина полезно", добавя той.
И докато 94% от ловците на Bugcrowd са на възраст между 18 и 44 години, има няколко, които все още са в гимназията или прогимназията. Цената за записване е ниска и се основава на уменията. Около 1/4 от хакерите на платформата не са ходили в колеж.
Компаниите, които искат да бъдат хакнати
За да се предпазят от кибератаки, компаниите използват набор от методи, за да позволят на хората с хакерски умения да тестват защитата им. Някои компании използват собствени програми за проникване и често ги предоставят на т.нар. "червени екипи", за да играят ролята на злонамерена група, която се опитва да свали корпоративните сървъри или да открадне информация.
Други използват консултантски фирми, които предлагат тази услуга, или компании за откриване на бъгове като Bugcrowd, HackerOne, Synack и Cobalt. Или просто публикуват имейл, за да може всеки, който открие проблеми, да се свърже с тях.
Програмите за откриване на бъгове придават по-официален подход с правила, които хакерите трябва да следват, като например да не прескачат от сървъра, който трябва да бъде тестван на други сървъри с по-чувствителни данни, обяснява Елис.
Компании като IJet и Tesla плащат на хакери между 1000 и 15 000 долара за откриване на проблеми в зависимост от сериозността на проблема. MasterCard плаща до 3000 долара.
През октомври Министерството на отбраната присъди поръчката "Хакни Пентагона" на Bugcrowd и HackerOne за техните краудсорсинг програми.