Beheer

Security

Bughunter verdient steeds beter

Beloning voor het vinden van een lek is fors gestegen

Hacker © CC0: Pixabay.com, genesis_3g

23 januari 2018

Beloning voor het vinden van een lek is fors gestegen

Steeds meer bugjagers kunnen inmiddels rondkomen van de beloningen die zij krijgen. Zo keerde Google vorige week een zeer hoge beloning uit aan een bughunter die een – dubbel - lek in Adroid had gevonden: Guang Gong, van het Alpha Team van Qihoo 360 Technology, kreeg 112.500 dollar uitgekeerd voor zijn vondst.

Uit een onderzoek van HackerOne onder 1700 beveiligingsonderzoekers blijkt dat een kwart op zijn minst de helft van zijn inkomen verdient met het vinden van lekken. Bijna 14 procent haalt bijna zijn totale jaarsalaris uit het jagen op bugs. 12 procent verdient er ongeveer 20.000 dollar per jaar mee terwijl een selecte top er meer dan 100.000 dollar per jaar mee verdient.

Geld verdienen is dan ook een belangrijke reden voor de onderzoekers om op jacht te gaan naar lekken en die te melden bij de organisaties die daar beloningen voor geven. Maar het is niet de belangrijkste reden voor hen; dat is de kans om tips en technieken te leren, gevolgd door ‘uitgedaagd worden’. Een deel doet het ook puur voor zijn plezier. Toch is de beloning, de bounty, die een organisatie uitlooft voor een lek, de belangrijkste reden voor hackers om voor een opdracht te kiezen.

Zo werken platforms voor bughunters

HackerOne is van oorsprong Nederlands en inmiddels zeer groot platform van bughunters. Zo’n 166.000 hackers uit de hele wereld hebben zich hierbij aangesloten. Organisaties geven bij HackerOne aan welke onderdelen van hun systemen onderzocht kunnen worden door de hackers van het platform. Die gaan vervolgens met een opdracht via HackerOne aan de slag. Vinden ze een lek, dan melden ze dat bij HackerOne. Datbiedt hen tools via welke de organisatie contact kan openmen met de hacker om het probleem te analyseren en te verhelpen. Van het geld dat de hacker hiervoor krijgt, staat hij een deel af aan HackerOne, meestal zo’n 20 procent. Inmiddels is rond de 23,5 miljoen dollar aan bounty’s uitgekeerd en zijn zeker 72.000 lekken gevonden.

HackerOne is niet het enige hackersplatform. Andere grote platforms zijn onder meer Bugcrowd, Synack en Alert Logic. Een voordeel voor de hackers is dat deze platforms precies weten hoe ze de lekken kunnen melden bij organisaties. Daarbij gaat het meestal om organisaties met een duidelijk beleid voor het verwerken van lekken. Een grote meerderheid van de organisaties heeft echter geen beleid op dit gebied. Daardoor heeft een kwart van hackers al eens meegemaakt dat ze een lek vonden, maar dit niet via de responsible disclosure-regels konden melden omdat ze ofwel genegeerd werden of totaal niet werden begrepen.

India bovenaan

De meeste bughunters (23 procent) zitten in India. Zij verdienden vorig jaar via HackerOne ruim 1,8 miljoen dollar. Een fractie daarvan werd overigens maar uitgekeerd door Indiase bedrijven. De bug bounty’s komen vooral uit Westerse landen. Geen probleem voor deze white hackers, want geografie doet er niet toe bij dit werk. De VS is een goede tweede met 20 procent van de bugjagers, gevolgd door Rusland (6 procent) en Pakistan (4 procent) en Groot-Brittannië (4 procent).

De beloningen zijn internationaal, waardoor het voor hackers uit landen met lagere lonen veel aantrekkelijker is als bijverdienste. Zo is het gemiddelde inkomen van een bugjager in India 16 keer hoger dan dat van een gemiddelde softwareontwikkelaar in dat land. Dat komt doordat India veel meer top-bugjagers telt maar ook door de gemiddeld lage salarissen van Indiase sofwareontwikkelaars. Gemiddeld wereldwijd verdient een tophacker bijna 3 keer zo veel als een sofwareontwikkelaar. Voor Nederland is dat cijfer 1,7.

Zelf geleerd

Hacken leer je ook niet op school, blijkt uit het onderzoek. Ruim de helft heeft het zichzelf geleerd. Ook al heeft driekwart van de hackers een informatica-opleiding, toch heeft maar 5 procent op school leren hacken.

Hackers zijn jong: de helft is jonger dan 25 en 8 procent is zelfs nog geen 18. Slechts 10 procent van de bugjagers is ouder dan 35. 13 procent doet dit full time. Twee derde steekt er 20 uur of minder in per week.