Você sabe quanto ganha um “caçador de bugs”?

Você sabe quanto ganha um “caçador de bugs”?

Em alguns países, as motivações financeiras da busca por vulnerabilidades de segurança são (ainda) mais surpreendentes, segundo os resultados de uma pesquisa publicada pela HackerOne.

Em alguns países, as motivações financeiras da busca por vulnerabilidades de segurança são (ainda) mais surpreendentes, segundo os resultados de uma pesquisa publicada pela HackerOne.

Os hackers éticos com receitas mais elevadas obtêm recompensas de até 2,7 vezes mais do que o salário recebido por um engenheiro de software em tempo integral em seu país de origem, de acordo com uma pesquisa recente sobre economia, geografia e outros aspectos do bug hunting.

Em alguns países, as motivações financeiras da busca por vulnerabilidades de segurança são (ainda) mais surpreendentes, segundo os resultados de uma pesquisa do Hacker Report de 2018 recentemente publicada pela HackerOne. As conclusões são baseadas em comentários de cerca de 1.700 hackers de chapéu branco em todo o mundo no que é descrito como “a maior pesquisa documentada já realizada sobre a comunidade do hacking ético”. Todos os entrevistados relataram pelo menos uma violação de segurança válida.

A Índia e a Argentina se destacaram particularmente, ao descobrir que os hackers de chapéu branco parecem ganhar receitas de 16 e 15,6 vezes maiores, respectivamente, do que as de um engenheiro de software no país. Aparentemente, o bug hunting sozinho também pode garantir uma vida confortável para os white-hats que vivem no Egito, Hong Kong e Filipinas, onde os multiplicadores variam entre 8.1 e 5.4.

Falando em recompensas financeiras, parece que o dinheiro não é mais o principal motivador para que os hackers se esforcem para expor falhas de segurança. Desde 2016, essa motivação caiu para o quarto lugar, enquanto os hackers éticos afirmam ser mais incentivados pela chance de “aprender padrões e técnicas”, já que “ser desafiado” e “se divertir” empataram com o segundo lugar.

Juntamente com outras descobertas interessantes, um em cada quatro hackers éticos disse que não ter relatado brechas em sistemas inseguros, porque “a empresa não tinha um canal para comunicá-lo”. Mas, mesmo assim, os “caçadores de bugs” tentaram deixar a empresa tomar conhecimento sobre a falha através de outros meios, apenas para serem “geralmente ignorados ou incompreendidos”.

quase três quartos dos hackers disseram que as empresas ultimamente estão mais dispostas a receber relatórios sobre falhas.

Por outro lado, quase três quartos dos hackers disseram que as empresas ultimamente estão mais dispostas a receber relatórios sobre falhas. Um em cada três acredita que as empresas até estão “muito mais abertas” para receber relatórios de vulnerabilidades.

Mais de 90% dos hackers éticos têm menos de 35 anos, e a maioria é autodidata. Quase metade de todos os entrevistados tem um trabalho em tempo integral na área de TI.

Os hackers de chapéu branco tendem a concentrar seus esforços na identificação de vulnerabilidades em sites (70,8%), seguido por APIs (7,5%), “tecnologias das quais eu sou um usuário” (5%) e aplicativos Android (4, 2%). Quanto aos vetores de ataque favoritos, o cross-site scripting assumiu o primeiro lugar (28%), seguido pela injeção SQL.

Na semana passada, a descoberta de uma cadeia de exploits remota do Android deu a um pesquisador chinês uma recompensa de seis dígitos, o mais alto da história do programa do Google, o Android Security Rewards, e concedeu a valiosa adição à lista de alguns dos melhores recompensados ​​por encontrar bugs. No entanto, nem todo esse esforço sempre vem com grandes lucros.

Enquanto isso, algumas semanas atrás, foi anunciado que os hackers éticos começarão a trabalhar com o Serviço Nacional de Saúde do Reino Unido para melhorar sua posição sobre a cibersegurança.

HackerOne aumentou em dez vezes o número de usuários em dois anos. Os proprietários de 23% e 20% da grande comunidade de 166.000, Índia e Estados Unidos, respectivamente, são de longe os dois países com maior representação. Mais de 72.000 vulnerabilidades foram carregadas na plataforma, com os “caçadores de bugs” ganhando mais de US$23,5 milhões.

Discussão