У хакерского таланта, как и любого другого, есть разные грани применения. Обладая талантом исследователя и «взламывателя», далеко не обязательно переходить на незаконную сторону. Разновидность этичного хакинга, или White Hat, также является достаточно прибыльной специальностью. При этом не обладает криминальным подтекстом.
Суть действий заключается в том, что вы делитесь обнаруженным способом взлома того или иного ресурса с его владельцем. Тогда у него есть шанс исправить уязвимость до возникновения рабочих атак. Нужно учитывать, что в случае находки вам потребуется ее воспроизвести и составить пошаговую действующую инструкцию для специалистов.
Таким образом, ресурс экономит на последствиях атак и репутационных рисках, поэтому многие крупные компании выплачивают приличные суммы денег за подобную информацию, объявляя себя участником программы Bug Bounty, которая, в свою очередь, мотивирует экспертов во всем мире исследовать именно эти ресурсы и повышать тем самым их защищенность. Формируется взаимовыгодное сотрудничество сообщества и бизнеса.
Для обмена данными и согласования вознаграждений, обеспечения безопасной разведки и контроля репутации хакеров существуют специализированные платформы. Одна из старейших – HackerOne.
Недавно платформа HackerOne поделилась статистикой работы за время существования сервиса: исследователи смогли заработать порядка $100 млн на своих находках (которые использовались в мирных целях). Динамика представлена на изображении:
В первую десятку по выданным премиям вошли Verizon Media, PayPal, Uber, Intel, Twitter, GitLab, Mail.ru, GitHub, Valve и Airbnb.
Не так давно компания Ozon, одной из первых среди российских компаний электронной коммерции, запустила свою программу Bug Bounty на сервисе HackerOne. До этого в России работали в этом направлении более сервисные компании: Avito, Mail.ru и Qiwi. Ozon предлагает за XSS-дыру около 17 тысяч рублей, за более опасную уязвимость (например, RCE-уязвимость) – до 120 000 рублей.
Компания Sony выплатила в июле 2020 года пользователю PlayStation 4, который смог взломать консоль, $10 тыс. Найденный им эксплоит в тандеме с другим уже существующим (WebKit) позволяет взломать приставку для запуска пиратских игр и манипулировать пользовательскими данными.
И напоследок интересный факт. На фоне активных политических событий в США сами термины «Black Hat» и «White Hat» подверглись критике. В частности, вице-президент компании Google Дэвид Клейдермахер (David Kleidermacher), в чьей зоне ответственности находятся платформы Android и Google Play Store, отозвал свое выступление на конференции Black Hat 2020 и призвал индустрию заменить эти термины более нейтральными альтернативами. Пока сообщество не поддержало данную инициативу. Термины «черной» и «белой» шляпы восходят к вестернам, где они отражают традиционный дуализм «белый» – «черный» как противостояние добра и зла.
