Ваш браузер устарел, поэтому сайт может отображаться некорректно. Обновите ваш браузер для повышения уровня безопасности, скорости и комфорта использования этого сайта.
Обновить браузер

Ася Лавринович: «Я рада, что выросла без интернета»
Ася Лавринович: «Я рада, что выросла без интернета»
Пятничный алкогольный прогноз MAXIM: 15-17 ноября 2024 года
Пятничный алкогольный прогноз MAXIM: 15-17 ноября 2024 года
Как правильно пить пиво, чтобы вас сочли культурным человеком
Как правильно пить пиво, чтобы вас сочли культурным человеком
Лучшие фильмы ужасов от студии А24
Лучшие фильмы ужасов от студии А24

Благородное пиратство: как неплохо заработать на желании все сломать

Иногда быть плохим выгодно. Сейчас мы о хакерах, которые занимаются поисками уязвимостей.

13 октября 2020Обсудить
Благородное пиратство: как неплохо заработать на желании все сломать

8 октября стало известно, что неназванная группа хакеров, состоящая в основном из молодых людей, три месяца взламывала все возможные сервисы Apple. Обычно за этим следует рапорт ФБР, в котором сообщается о поимке этих нехороших людей, но в этот раз было все наоборот: Apple выплатила хакерам 288 тысяч долларов США. Это был очередной цикл программы охоты за уязвимостями (bounty program). Такие инициативы есть практически у всех крупных IT-компаний в мире. 

Хакеров, которые занимаются поисками уязвимостей, называют «хакерами в белых шляпах» (white hat hackers) либо просто «этичными хакерами». Случай выше — скорее. исключение, хакеры обычно работают инкогнито и скрывают свои имена. Когда "этичные хакеры" охотятся за багами в крупных продуктах, на этих хакеров охотятся спецслужбы всех стран мира, чтобы попытаться завладеть данными о раскрытых дырах до того, как их устранят разработчики. 

Программы, впрочем, есть не только у компаний, но и у правительств. Самая известная и дорогая — «Взломай Пентагон» (и не сядь пожизненно), которую проводят с 2016 года. Это единственная возможность попробовать легально взломать серверы правительства США. 

Большой список программ по отлову багов всегда можно найти на сайте Hacker One, но там обычно отсутствуют самые крупные компании. Впрочем, если ты программист или системный администратор и нашел уязвимость в коммерческом продукте, то в первую очередь направляйся туда и проверь, не платит ли компания за нахождение уязвимости. Пятьсот долларов на дороге не валяются. 

Вот рейтинг самых щедрых компаний, выплачивающих деньги за поиски критических уязвимостей (по данным Hacker One, суммы за все время существования программы):

  1. Verizon — $9,4 млн (максимальная разовая выплата - $70 тыс.)

  2. PayPal — $2,8 млн (максимальная разовая выплата - $30 тыс.)

  3. Uber — $2,4 млн (максимальная разовая выплата - $50 тыс.)

  4. Intel — $1,9 млн (максимальная разовая выплата - н/д)

  5. Twitter — $1,2 млн (максимальная разовая выплата - $20 тыс.)

  6. GitLab — $1,2 млн (максимальная разовая выплата - $20 тыс.)

  7. Mail.ru — $1,1 млн (максимальная разовая выплата - $20 тыс.)

  8. GitHub — $1 млн (максимальная разовая выплата - $25 тыс.)

  9. Valve — $950 тыс. (максимальная разовая выплата - $20 тыс.)

  10. Airbnb — $950 тыс. (максимальная разовая выплата - $15 тыс.)

Автор текста:Павел Шляпников
Материалы по теме
Подписываясь на рассылку вы принимаете условия пользовательского соглашения