- Регистрация
- 22 Фев 2019
- Сообщения
- 1,191
- Баллы
- 0
- Веб-сайт
- opencard.pw
- Общие продажи
- 0$
- Общие покупки
- 0$
Аналитики багхантингового проекта HackerOne очередное исследование об участниках платформы. В 2018 году этичные хакеры получили вознаграждений на $19 млн — немногим меньше, чем за весь период с 2012-го по 2017-й.
К настоящему моменту на HackerOne зарегистрированы более 300 тыс. участников, из которых почти 4000 приняли участие в исследовании. Уже второй год подряд наибольшую долю среди аудитории платформы составляют жители Индии. За ними следуют США, Россия, Пакистан и Великобритания — на эти пять стран суммарно приходится более 50% участников.
Исследователи отмечают, что географическое распределение меняется — если в 2017 году индийские и американские хакеры составляли 43% сообщества, то теперь эта цифра упала до 30%. За последние 12 месяцев к проекту присоединились специалисты из шести новых африканских государств, а число хакеров из Алжира выросло вдвое.
Почти половина «белых шляп» на HackerOne оказалась младше 35 лет. Еще около 9% попали в группу 35–49 лет. Представители старшего поколения занимают совсем небольшую долю, но аналитики отметили, что в 2018-м она увеличилась почти в два раза.
Как и раньше, хакеров чаще всего мотивируют не деньги, а возможность расширить свои горизонты и обменяться знаниями с профессионалами.
Тем не менее, за прошедший год сразу несколько участников получили по $100 тыс. за обнаруженные уязвимости, а для одного хакера сумма вознаграждений перевалила за $1 млн.
Охота за багами становится все более привлекательной для молодых профессионалов. В некоторых странах специалисты в этой области получают в десятки раз больше, чем обычные программисты. Так, в Аргентине их зарплаты различаются в 40 раз, в Таиланде и Египте — более чем в 24, в Индии — в 17, в Гонконге — почти в семь. Этот разрыв, о котором сообщалось и раньше, за прошедший год только вырос.
Основные усилия участников HackerOne сосредоточены на веб-приложениях: свыше 70% респондентов сказали, что больше всего им нравится работать с сайтами, около 7% участников указали бреши в API в качестве любимой темы, а хранилищами данных и Android-приложениями предпочитают заниматься по 3,7% хакеров.
Среди всех возможных брешей первое место по популярности твердо держат XSS-уязвимости. В 2017-м с ними предпочитали работать 28% «белых шляп», в прошлом году — уже более 38%. На втором месте оказались SQL-инъекции (13,5%), далее в топе расположились фаззинг (7,5%), проблемы бизнес-логики (6,4%) и сбор информации (5,8%).
Исследователи также рассказали об изменении общественного мнения по отношению к хакерам. Как показал опрос 2000 американских граждан, хотя четыре из пяти обывателей по-прежнему считают такую деятельность незаконной, сравнимая доля респондентов признает пользу от обнаружения уязвимостей ПО. Почти две трети участников исследования согласились, что хакеры могут преследовать благородные цели, а граждане 18–35 лет все чаще склоняются к тому, что багхантинг — такая же профессия, как и остальные.
У бизнес-руководителей такая точка зрения пока не получила распространения — аналитики подсчитали, что в 93% компаний из списка Forbes 2000 нет налаженных процедур для обработки сообщений об уязвимостях. Фактически это означает, что бреши остаются неизвестными до самой атаки. Как признались участники HackerOne, в большинстве случаев они отказываются от сотрудничества с организацией, если та не проявляет желания к коммуникации.
Авторы исследования призывают компании изменить позицию, чтобы избежать крупных скандалов наподобие недавней утечки в Facebook и Exactis.
«Хакеры представляют глобальные силы добра, которые совместно борются с проблемами, угрожающими нашему обществу, — говорят исследователи. — Какие бы причины ни приводили «белых шляп» в эту профессию, результатами их работы сегодня пользуется все больше организаций, а наш мир становится безопаснее».