Поделиться
Работайте бесплатно. Крупнейшая в мире платформа для «белых» хакеров срезала выплаты за критические уязвимости почти до нуля
HackerOne сокращает вознаграждения за обнаружение уязвимостей. Выплаты по самым опасным из них сокращены более чем на 75%. HackerOne – это самая известная и крупная в мире платформа для «белых» хакеров, которые зарабатывают на поиске уязвимостей. Раньше она работала и в России, но теперь поддерживает антироссийские санкции.
«Законопослушные» хакеры беднеют
Платформа HackerOne, которая обеспечивает работу «белым» хакерам, занимающимся поиском уязвимостей за деньги, почти перестала оплачивать их труд. Как пишет The Register, в ряде случаев размеры выплат просели на 75%, и в особенности это касается денег, полагающихся за выявление критической, то есть самой опасной уязвимости.
Платформы для «белых» хакеров являются связующим звеном между компаниями и самими хакерами. Первые размещают на таких площадках запросы на поиск брешей, а вторые откликаются на «вакансию». Площадка получает свой процент с таких сделок.
HackerOne – самая известная и раскрученная платформа такого рода. До 2022 г. она работала и в России, но теперь поддерживает антироссийские санкции. В России за эти годы появилось несколько ее отечественных аналогов.
Насколько все плохо
The Register приводит в пример неназванного «белого» хакера, который давно работает на HackerOne. Его недавний чек оказался значительно меньше, чем раньше, за те же объемы работы.
По его словам, в рамках программы HackerOne Internet Bug Bounty он выявил уязвимость средней степени серьезности, за которую ранее выплачивалось $1843. Теперь же HackerOne выплатила ему лишь $297, то есть в 6,2 раза меньше, чем раньше.
Вознаграждение за выявление критической уязвимости на площадке рухнуло с прежних $9250 до $2257. Обнаружение чуть менее опасных «дыр» ранее оплачивалось в размере $4429, а теперь это стоит $1009.
Уязвимости с минимальным уровнем опасности и вовсе теперь почти ничего не стоят. Их выявление принесет хакеру всего $68 вместо прежних $597.
Мы ничего не нарушаем
Эксперты The Register обратились к представителям платформы с вопросом о происходящем и не получили внятного ответа. Администраторы HackerOne даже не стали отвечать, повлияли ли на расценки множественные отчеты об уязвимостях, сгенерированные искусственным интеллектом.
«Программа Internet Bug Bounty – это уникальная, динамичная программа, в которой уровни вознаграждения автоматически корректируются в зависимости от вклада активных участников-спонсоров, – заявил изданию представитель HackerOne. – Выплаты в рамках этой программы регулярно корректируются в соответствии с описанием программы IBB».
Не единичный случай
С резким снижением размеров выплат со стороны HackerOne столкнулось много «белых хакеров». Один из них, представившийся изданию Якубом Циолеком (Jakub Ciolek), сообщил, как осенью 2025 г. через программу Internet Bug Bounty он отправил отчет о двух уязвимостях, приводящих к отказу в обслуживании (DoS), в Argo CD, популярном инструменте для работы с Kubernetes.
Информация о найденных «дырах» дошла до разработчиков Argo CD, и они оперативно исправили их. Циолек рассчитывал получить за свою работу примерно $8500, однако его вознаграждение оказалось равным нулю.
Вместо честного перевода денег HackerOne игнорировала «белого» хакера в течение нескольких месяцев. Лишь после того, как специалисты The Register напрямую спросили у представителей платформы, в чем проблема, они соизволили отправить ему электронное письмо, но не деньги.
В письме платформа HackerOne поблагодарила Циолека за его терпение. Также в письме была информация, что его сообщения об уязвимостях остаются «ожидающими обработки в связи с временной задержкой в работе» (pending reward processing due to a temporary operational backlog). И это при том, что обе уязвимости давно устранены.
Другой собеседник The Register тоже сообщил, что месяцами ждал выплаты от HackerOne. Когда деньги, наконец, пришли, сумма составила всего $297, а это существенно меньше, чем он ожидал.
В одностороннем порядке
Собеседники издания подчеркивают, что HackerOne снизила свои расценки уже после того, как многие «белые» хакеры отработали заявки и выявили уязвимости. То есть сложилась ситуация, когда все они работали за вполне конкретную сумму и ожидали увидеть на своих счетах именно ее, но в итоге получили гораздо меньше денег.
«Проблема здесь заключается в том, что изменения были фактически внесены спустя долгое время после того, как работа уже была выполнена, исправлена и публично отмечена, при других ожиданиях», — сказал изданию Якуб Циолек. Он добавил также, что на фоне происходящего он перестал искать уязвимости в рамках программ вознаграждения за обнаружение багов, но будет сообщать о серьезных проблемах по мере их выявления.
Поделиться
Короткая ссылка
