In januari 2018 publiceerde HackerOne haar 2018 Hacker Report. Naar eigen zeggen is het het grootste onderzoek binnen de gemeenschap van ethisch hackers dat ooit is uitgevoerd, 1698 respondenten deden mee. HackerOne heeft toegang tot deze groep, omdat veel onafhankelijke security onderzoekers bij hen zijn aangesloten via een zogenaamd bug bounty programma.
Bug bounty programma?
Bedrijven die zelf niet voldoende security onderzoekers in dienst kunnen nemen of betalen, kunnen onafhankelijke security onderzoekers betrekken bij de beveiliging van hun organisatie, software en/of systemen. Via een bug bounty programma wordt onderzoekers de mogelijkheid geboden om kwetsbaarheden en andere security issues (bugs) te vinden, in ruil voor een beloning (bounty). Omdat het voor de meeste bedrijven lastig is om de bevindingen van deze onderzoekers goed te beoordelen, wordt er vaak een gespecialiseerde partij betrokken bij het bug bounty programma. In Nederland is Zerocopter een bekende aanbieder van dit soort programma’s. Op hun website schrijven zij over bug bounty het volgende: “Een selecte groep van de bij ons aangesloten ethical hackers, door ons ‘researchers’ genoemd helpt je met het opsporen van eventuele onbekende kwetsbaarheden (zogeheten ‘bugs’) in je systeem en biedt je een oplossing. Beloning (de zogeheten ‘bounty’) van de researchers gebeurt op no-cure-no-pay basis, per goedgekeurde kwetsbaarheid.”
Beloning
De suggestie kan gewekt worden dat security onderzoekers vooral onderzoek doen om er een financiële beloning uit te halen. In sommige landen van de wereld kan dat ook lucratief zijn. Een software engineer in India kan tot wel 16 keer zoveel verdienen wanneer hij bounties opstrijkt, in plaats van in dienst te zijn. In Egypte is dat zo’n 8 keer zoveel en in de Filipijnen zo’n 6 keer zoveel. Deze factoren zijn overigens wel wat arbitrair, kosten die een werkgever voor huisvesting, belastingen en dergelijke moet doorberekenen zijn er niet in meegenomen. Desondanks is het in sommige delen van de wereld zeker de moeite waard om op bugs te jagen.
What makes them hack?
Toch blijkt uit het onderzoek dat financiële beloningen niet op de eerste plaats van ethisch hackers staat. 14,7% van de respondenten wil vooral nieuwe technieken leren, 14% doet het voor de uitdaging, nog eens 14% om plezier te hebben en zo’n 13% doet het voor het geld.
Wat mij betreft bevestigt dit het beeld dat we blij moeten zijn met hackers met goede bedoelingen! Door hun nieuwsgierigheid en doorzettingsvermogen maken zij de digitale wereld een stuk veiliger. Dat is hard nodig ook!
Bronnen
https://info.hacker.one/2018-hacker-report/
https://www.zerocopter.com/nl/seo/bug-bounty