Штрихи к портрету белых хакеров

Опубликовано любопытное исследование, посвященное деятельности белых хакеров (иногда их называют также «этическими хакерами»), которые специализируются на поиске уязвимостей, но не используют их для атак, а уведомляют о проблемах разработчиков (обычно за вознаграждение в рамках программ премирования bug bounty). Исследование проведено специалистами HackerOne – онлайн-платформы, координирующей взаимодействие крупных компаний и независимых исследователей в борьбе с уязвимостями.

Как и следовало ожидать, среднестатистический белый хакер достаточно молод: 90% опрошенных исследователей не исполнилось и 35 лет, 50% не достигли 25-летия, а еще около 7% и вовсе являются несовершеннолетними. Лишь менее 5% сообщили, что овладели навыками поиска уязвимостей в специальных учебных заведениях, тогда как 58% назвали себя самоучками. Тем не менее, в дальнейшем не менее половины респондентов сочли необходимым продолжить изучение информатики уже фундаментально – в колледжах и университетах.

Говоря о своей главной мотивации, респонденты поставили на первое место возможность получения новых знаний и навыков, далее следуют удовольствие от преодоления трудностей и азарт (37% опрошенных назвали поиск уязвимостей своим хобби). Таким образом, денежные вознаграждения от крупных компаний за найденные уязвимости оказались лишь на четвертой строчке в списке причин, подталкивающих белых хакеров к их работе. Однако и эта причина весьма существенна. Исследование показывает, что в среднем успешный белый хакер получает в качестве премий bug bounty сумму, в 2,7 раза превышающую средний заработок программиста в его стране. А для некоторых стран этот разрыв еще выше: в отдельных случаях удачливые исследователи зарабатывают в 16 раз больше, чем их коллеги, выбравшие штатную работу в офисе.