É difícil mensurar um valor específico: existem centenas de programas de bug bounty com valores que variam entre US$ 500 e US$ 200 mil por vulnerabilidade encontrada em sites e smartphones, por exemplo. Porém, hackers podem ter uma receita até 2,7 vezes mais alta do que o salário recebido por um engenheiro de software, nota a ESET.
"Os hackers éticos com receitas mais elevadas obtêm recompensas de até 2,7 vezes mais do que o salário recebido por um engenheiro de software em tempo integral em seu país de origem, de acordo com uma pesquisa recente da HackerOne sobre economia, geografia e outros aspectos do bug hunting".
Os hackers white hats possuem receitas até 16 vezes maiores que engenheiros de software nos países citados
Vale notar que bug bounty são programas voltados para hackers éticos, que encontram vulnerabilidades e reportagem para as empresas corrigirem. Hackers que se aproveitam da falha, também são caracterizados como maliciosos ou black hat.
De acordo com a Hacker One, foram entrevistados cerca de 1,7 mil hackers white hat em todo o mundo para entender as motivações por trás da busca por vulnerabilidades.
Segundo a pesquisa, os países que mais se destacam são a Índia e a Argentina: os white hats possuem receitas até 16 vezes maiores que profissionais de engenharia de software nos países. A pesquisa também mostra que o dinheiro não é o principal fator para o trabalho. "Os hackers éticos afirmam ser mais incentivados pela chance de 'aprender padrões e técnicas', seguido por 'ser desafiado' e 'se divertir'.
Um problema notado pelos hackers é a falta de comunicação com muitas empresas, por causa da falta de canais apropriados para reportar problemas. Mesmo assim, "quase três quartos deles notaram que as empresas estão mais dispostas a receber relatórios sobre falhas".
A pesquisa ainda quantificou a concentração de esforços realizados da seguinte maneira
- Identificação de vulnerabilidades: 70,8%
- APIs: 7,5%
- Apps Android: 4,2%
Já sobre os métodos de ataque favoritos, o cross-site scripting lidera com 28%, sendo seguindo por injeção SQL.
Categorias