HackerOne резко снизила выплаты за обнаружение критических уязвимостей

Крупнейшая в индустрии кибербезопасности платформа для поиска уязвимостей HackerOne оказалась в центре скандала, связанного с существенным снижением уровня вознаграждений для исследователей безопасности («белых» хакеров). Согласно актуальным данным, размер выплат по некоторым категориям багов сократился более чем на 75%, что вызвало волну недовольства среди участников сообщества, обеспечивающего работу данной экосистемы.

Механика выплат и экономика «баг-баунти»

Платформы bug bounty выступают посредниками, агрегирующими запросы компаний на поиск брешей в их IT-инфраструктуре. Исследователи занимаются поиском уязвимостей, а площадка берет комиссию с каждой реализованной сделки. В рамках программы Internet Bug Bounty (IBB), функционирующей на базе HackerOne, произошла резкая корректировка тарифной сетки, что отразилось на доходах специалистов, работающих с критическими уязвимостями.

Для наглядности изменения тарифов можно привести следующую статистику: вознаграждение за обнаружение критической уязвимости снизилось с $9250 до $2257. В сегменте угроз средней степени тяжести выплаты упали с $1843 до $297, а за баги низкого уровня опасности исследователи теперь получают около $68 вместо прежних $597. Проще говоря, стоимость результативной работы экспертов по безопасности для ряда проектов обвалилась в 6–8 раз.

Позиция платформы и вопросы прозрачности

Официальные представители HackerOne воздерживаются от подробных комментариев относительно причин столь радикального пересмотра бюджетов. В компании характеризуют программу IBB как динамическую модель с автоматизированной системой коррекции выплат. Согласно заявлениям платформы, величина наград напрямую зависит от взносов активных спонсоров-участников и периодически пересматривается в соответствии с текущим регламентом программы.

При этом администрация HackerOne уклоняется от ответов на вопросы о том, как на ситуацию влияет рост числа автоматизированных отчетов об уязвимостях, генерируемых с помощью LLM-моделей. В сообществе экспертов опасаются, что резкое снижение выплат может быть попыткой оптимизации расходов в условиях наплыва низкокачественных данных, поставляемых нейросетями.

Правовой и этический аспект

Ситуация осложняется тем, что изменения в структуре выплат коснулись задач, которые уже были выполнены и закрыты. Исследователь Якуб Циолек (Jakub Ciolek) сообщил, что после обнаружения и исправления двух DoS-уязвимостей в Argo CD (инструменте для работы с Kubernetes) он не получил ожидаемого вознаграждения в размере $8500. В течение нескольких месяцев платформа игнорировала его запросы, ссылаясь на «временную задержку в операционной обработке» (pending reward processing), несмотря на то что уязвимости были давно устранены разработчиками ПО.

Практика внесения изменений в условия вознаграждений «задним числом» — уже после завершения исследования и подтверждения патча — вызывает вопросы о надежности платформы как контрагента. Многие исследователи отмечают, что подобная политика девальвирует усилия специалистов, вынуждая их либо покидать платформу, либо пересматривать формат взаимодействия с ней, отдавая приоритет сообщению о критических ошибках без ожидания фиксированной финансовой компенсации.