Ethische hackers met steeds meer geld beloond voor ontdekken van bugs

Er valt grof geld te verdienen met hacken, en daarvoor hoef je niet eens in de illegaliteit te duiken. Een nieuw rapport van bugbountyplatform HackerOne brengt de markt van ethisch hacken in kaart, en toont dat er steeds meer geld in omgaat.

Bedrijven starten steeds vaker bugbountyprogramma’s op waarmee ze externe hackers de kans geven om hun systemen te testen, en er ook nog iets aan te verdienen als een kwetsbaarheid wordt ontdekt. De grootste uptick was in Latijns-Amerika, waar het aantal programma’s in 2017 steeg met 143 procent ten opzichte van het jaar ervoor. EMEA kende een stijging van 26 procent. Voor Noord-Amerika en APAC was dat respectievelijk 38 en 37 procent.

11,7 miljoen

Er werd in het afgelopen jaar maar liefst 11,7 miljoen dollar aan beloningen uitgereikt, goed voor een totaal van 27.000 kwetsbaarheden. Voor de bugbountyprogramma’s die HackerOne Mee beheert, steeg de gemiddelde beloning voor kritieke kwetsbaarheden met een derde, tot 20.000 dollar voor de best betaalde ontdekkingen. 116 kritieke kwetsbaarheden brachten meer dan 10.000 dollar op. De grootste beloning voor één kwetsbaarheid bedroeg vorig jaar 75.000 dollar.

Amerikaanse bedrijven loven met voorsprong het meeste beloningen uit, gevolgd door Canada en het Verenigd Koninkrijk. Technologiebedrijven staan met stip op nummer één, maar ook andere sectoren zijn in opmars. Met name in healthcare, media en financiële diensten winnen bugbountyprogramma’s aan populariteit. Aan de kant van de ontvangers zijn het opnieuw de Amerikaanse hackers die het meeste geld opstrijken, gevolgd door de Russen en de Britten. Duitse en Nederlandse hackers vervolledigen de top vijf.

Zelf aangeleerd

Het rapport van HackerOne geeft verder ook meer inzicht in de typische ethische hacker. Negen op tien hackers zijn onder 35 jaar en meer dan de helft heeft zijn of haar hackingvaardigheden zelf aangeleerd. De belangrijkste drijfveren zijn om nieuwe technieken aan te leren, voor de uitdaging en simpelweg omdat het leuk is om te doen.

Geld verdienen komt pas op de vierde plaats, maar kan een grote impact hebben. De beste hackers verdienen gemiddeld 2,7 keer meer aan de jacht op bugs dan het gemiddelde salaris van een software-ingenieur in hun land. In België zitten de ethische hackers exact op dat gemiddelde, Nederlandse hackers verdienen slechts 1,7 keer meer. In India kan een job als ethisch hacker zelfs tot 16 keer lucratiever zijn dan een alternatieve baan als software-ingenieur.