Хакеры на мели: HackerOne радикально урезала выплаты за баги

Ситуация с программой Internet Bug Bounty стала критической для многих независимых специалистов. Анализ выплат показывает, что за нахождение уязвимостей средней степени опасности хакеры получают в 6,2 раза меньше прежнего — $297 вместо $1843. Еще более показателен обвал цен на критические бреши: вознаграждение упало с $9250 до $2257. За ошибки минимального уровня опасности площадка теперь платит $68 вместо $597.

Масштаб проблемы подтверждают истории самих участников. Исследователь Якуб Циолек сообщил, что после обнаружения двух уязвимостей в инструменте Argo CD, которые были оперативно исправлены разработчиками, он не получил обещанных $8500. Платформа игнорировала его запросы несколько месяцев, а затем сослалась на «временную задержку в работе». При этом представители HackerOne отказываются комментировать, связаны ли такие меры с наплывом автоматизированных отчетов от ИИ, ограничиваясь лишь общими фразами о динамической корректировке уровней вознаграждения.

Главная претензия сообщества заключается в одностороннем изменении условий после выполнения работы. Многие хакеры приступали к поиску багов, рассчитывая на фиксированные суммы, но в итоге оказались перед фактом резкого снижения выплат. Подобная политика уже привела к тому, что часть специалистов отказывается от участия в программах HackerOne, переходя к поиску альтернативных площадок.