Информационная безопасность
Bug Bounty: методология и платформы
2021 год. 22-летний индийский студент Pratik Yadav. HackerOne программа Microsoft. SSRF уязвимость в Azure. Выплата: $50 000. Суммарный заработок за год: $200 000+. Microsoft Engineering зарплата в Индии: $30 000/год. Bug bounty изменил математику безопасности: компании платят исследователям напрямую, потому что это дешевле чем взлом.
- US DoD Hack the Pentagon 2016: 138 уязвимостей за 6 недель, $150 000. Один корпоративный пентест стоит $50-200K
- Apple 2021: $100 000 выплата за обход FaceID через маску. Исследователь: 3 месяца работы
- Immunefi 2022: $10M выплата за критическую уязвимость в DeFi протоколе - самая большая в истории
HackerOne: крупнейшая bug bounty платформа
HackerOne основана в 2012 Йобертом Абмой и Мишелем Принсом. 2023 статистика: 3000+ программ, 300 000+ хакеров, $300 млн+ выплаченных bounties. Самая большая выплата: $2 млн от HackerOne за критическую уязвимость (2022). US Department of Defense первое правительственное bug bounty (2016): Hack the Pentagon. Результат: 138 уязвимостей за 6 недель, $150 000 выплат. Дешевле одного пентеста.
Медиана времени выплаты на HackerOne: 30 дней. Топ-10% хакеров зарабатывают $500K+/год. Большинство зарабатывают $0-$10K. Bug bounty не пассивный доход - это конкурентная работа требующая специализации. Лучше быть первым в одном домене (GraphQL, мобильные приложения, cryptography) чем поверхностно везде.
Обнаружена IDOR уязвимость на HackerOne программе. Репорт отправлен. Что делать пока программа не ответила?
Bugcrowd и другие платформы: экосистема
Bugcrowd основан в 2011 в Австралии, специализируется на managed services для enterprise клиентов. Intigriti - европейская платформа, GDPR-compliant. Synack - private платформа с верифицированными хакерами, выше барьер входа, выше средний bounty. Immunefi - blockchain/DeFi специализация: самые большие выплаты ($10M+ за критические уязвимости в протоколах). 2022 год: Wormhole Bridge хак ($320M). Immunefi выплатил whitehat $10M за аналогичную уязвимость в другом протоколе.
CVSS severity -> bounty диапазон типичный для крупных программ: Critical ($5K-$50K+), High ($1K-$10K), Medium ($250-$2K), Low ($50-$500). Компании с большим revenue/data платят больше. Tesla, Airbnb, Twitter - high-value targets с щедрыми программами.
Найдена критическая уязвимость в DeFi смарт-контракте с $100M TVL. На какой платформе искать программу?
Responsible Disclosure: этика и процесс
Responsible Disclosure (Coordinated Vulnerability Disclosure) - стандарт: исследователь сообщает вендору, вендор имеет время на патч (обычно 90 дней - стандарт Google Project Zero), затем публичное раскрытие. 2014 год: ShellShock (CVE-2014-6271). Bash уязвимость. Стефан Шазела (Stephane Chazelas) уведомил Red Hat за 2 недели до публикации. Скоординированный патч для 50 000+ пакетов в Linux дистрибутивах. Без coordination - атакующие первые узнали бы о векторе.
Full Disclosure (немедленная публикация без уведомления) - спорная практика. Аргументы за: давление на вендоров-саботажников. Против: атакующие узнают раньше пользователей. Большинство исследователей: 90-дневный стандарт с публичным раскрытием если вендор игнорирует. Юридический риск без disclosure программы: CFAA (US), Computer Misuse Act (UK).
Уязвимость найдена в компании без bug bounty программы. Вендор не отвечает 30 дней. Что делать?
Scope: что тестировать и как не нарушить правила
2022 год. Исследователь нашёл критическую SSRF в out-of-scope домене крупной tech компании. Сообщил через bug bounty программу. Компания: out of scope = $0, но thank you. Исследователь: опубликовал через 90 дней. Компания: срочно пропатчили и выплатили $5 000 'goodwill bonus'. Scope - не просто правило программы, это юридическая и этическая граница. Тестирование out-of-scope = CFAA нарушение.
Recon-фокус для bug bounty: искать новые assets компании (запущенные за последние 30 дней) - меньше хакеров уже тестировали, больше шансов найти первым. Источники: Certificate Transparency (crt.sh), SecurityTrails historical DNS, Shodan org: фильтр. Acquisitions компании -> новые domains с legacy vulnerabilities.
Bug bounty - пассивный доход, находишь уязвимость и получаешь деньги
Bug bounty - конкурентная специализированная работа. Топ-10% зарабатывают основные деньги. Требует глубокой специализации в конкретных технологиях
HackerOne статистика: 300 000 зарегистрированных хакеров, $300M выплат. Медиана зарплата $0 (большинство не находят ничего валидного). Топ 100 хакеров получают ~30% всех bounties. Специализация (GraphQL, OAuth, мобильные) увеличивает шансы кратно.
Во время тестирования api.company.com найдена уязвимость позволяющая доступ к базе данных. В ответе видны реальные email адреса пользователей. Как действовать?
Итоги
- HackerOne/Bugcrowd: структурированный процесс репортинга. Signal/reputation > количество репортов. Специализация = больший impact
- Платформы: HackerOne (general), Immunefi (DeFi/blockchain, до $10M), Synack (private, high-value). Выбор по специализации
- Responsible Disclosure: 90 дней стандарт (Google Project Zero). Уведомление -> ожидание -> публикация. CERT/CC как посредник
- Scope: юридическая граница. Out of scope = CFAA риск. PII обнаружена -> стоп и документировать без хранения
Связанные темы
Bug bounty применяет методологию пентеста в структурированных коммерческих программах:
- Инструменты пентеста — Burp, sqlmap, nuclei - те же инструменты в разрешённом scope
- Методология пентеста — Recon, scanning, exploitation - полный цикл в bug bounty контексте
- Privacy: GDPR — Bug bounty исследователи обязаны соблюдать privacy требования при обнаружении PII
Вопросы для размышления
- Почему специализация (GraphQL, OAuth, DeFi) эффективнее общего подхода в bug bounty?
- Как доказать critical severity уязвимости не нарушая privacy пользователей?
- Какие юридические риски возникают при тестировании out-of-scope assets?
Связанные уроки
- sec-30 — Bug Bounty использует те же инструменты что и пентест
- sec-29 — Методология пентеста применяется в bug bounty контексте
- sec-33 — SIEM обнаруживает bug bounty активность как потенциальную атаку
- net-42-firewall