Listen over selskaper og aktører som utlover dusør til de som avdekker sårbarheter i programvare, datasystemer og nettverk er lang.
Enkelte lokker med digre pengebeløp, men en fersk rapport fra Massachusetts Institute of Technology (MIT) fastslår at det er svært vanskelig å livnære seg av dusørene.
I et eget avsnitt om arbeidsmarkedet for de som jakter sikkerhetshull hevder forskerne at bare et fåtall elitehackere stikker av med mesteparten.
– Alle andre må kjempe om smuler. Det å leve av sikkerhetsdusører kan sammenlignes med de som innbiller seg at de kan si opp jobben sin for å leve av pokerspill på heltid, skriver sikkerhetsfirmaet Trail of Bits i sin omtale av rapporten.
Selv kremen av bidragsyterne, de 1 prosent mest fremgangsrike etiske hackerne, tjener knapt nok til livets opphold, målt etter vestlig standard. Det viser rapporten, ifølge Infosecurity.
Sper på lønna
Forskerne har fulgt 61 dusørprogram over en periode på nær to år, inkludert ordninger fra Twitter, Coinbase, Square og andre store navn. Facebooks dusørprogram har de fulgt i 3,5 år.
De syv bidragsyterne som har mottatt de største dusørene fra Facebook skal i snitt ha tjent 34.255 dollar i året på å avdekke sikkerhetsbrister, noe som tilsvarer om lag 290.000 kroner.
Andre tall hentet fra HackerOne, en plattform for sikkerhetskoordinering og samleportal for dusørordninger, viser at seks personer øverst på inntjeningslisten i snitt dro inn 16.544 dollar i året.
Topplisten består trolig av sikkerhetseksperter som har dette som en bigeskjeft ved siden av ordinær jobb, poengterer Trail of Bits.
Mer enn 300.000 personer har registrert konto ved HackerOne-portalen. Det antyder at svært mange kan tenke seg å ofre tid på å avdekke sårbarheter. Det inkluderer imidlertid også inaktive kontoer og folk som aldri vil avdekke et eneste hull. I praksis er det bare en liten elite som vil gjøre det, mener de.
MIT-rapporten anslår at bare 4-5 prosent av sikkerhetshull som blir rapportert inn som del av dusørprogrammene til aktører som Google, Facebook eller Github faktisk kvalifiserer til utbetalinger.
Uenig: – Ubegrensede muligheter
Følgelig mener forskerne de at det kan være mer praktisk å satse på innleie av sikkerhetseksperter, fremfor å belage seg på dusør i arbeidet med å avdekke sårbare systemer.
Mårten Mickos, sjef i Hackerone, er uenig. Bransjeveteranen som i mange år ledet MySQL sier i en uttalelse til Infosecurity at forskningsrapporten fra MIT «ikke er representativ».
– Hvis dette er basert på data fra Hackerone, så omfatter det bare fragmenter av våre data. Hackermiljøet er faktisk kjennetegnet av kjøttvekt. De beste er betydelig mer produktive enn nybegynnere. Det fine med systemet er at mange nykommere stiger raskt i rekkene, og det er ubegrensede muligheter for de med dyktighet og vilje, sier finske Mickos.
