Платформа HackerOne снизила выплаты за обнаруженные уязвимости. Вознаграждения за самые критичные из них упали более чем на 75%. HackerOne представляет собой крупнейшую и наиболее известную мировую площадку для этичных хакеров, зарабатывающих на поиске уязвимостей. Ранее она действовала и на территории России, однако теперь присоединилась к антироссийским санкциям.
Площадка HackerOne, предоставляющая работу этичным хакерам, которые ищут уязвимости за вознаграждение, практически прекратила оплачивать их труд. Как сообщает The Register, в некоторых случаях суммы выплат сократились на 75%, особенно это касается вознаграждений за обнаружение критических, то есть наиболее опасных, уязвимостей.
Платформы для этичных хакеров выступают посредниками между компаниями и самими специалистами. Первые размещают на таких ресурсах заказы на поиск уязвимостей, а вторые откликаются на эти предложения. Площадка получает комиссию с каждой завершенной сделки.
HackerOne является самой известной и разрекламированной платформой подобного типа. До 2022 года она функционировала и в России, но теперь поддерживает антироссийские санкции. За это время в России появилось несколько отечественных аналогов этой платформы.
Издание The Register приводит пример анонимного этичного хакера, который давно сотрудничает с HackerOne. Его недавний чек оказался значительно меньше предыдущих за аналогичный объем работы.
По его словам, в рамках программы HackerOne Internet Bug Bounty он обнаружил уязвимость средней степени опасности, за которую ранее выплачивали $1843. Однако на этот раз HackerOne перечислила ему всего $297, то есть в 6,2 раза меньше прежнего.
Вознаграждение за выявление критической уязвимости на площадке упало с прежних $9250 до $2257. Обнаружение несколько менее опасных «брешей» ранее оплачивалось суммой $4429, а теперь за это платят $1009.
Уязвимости с минимальным уровнем опасности теперь практически ничего не стоят. Их выявление принесет хакеру лишь $68 вместо прежних $597.
Эксперты The Register обратились к представителям платформы с вопросом о причинах происходящего, но не получили вразумительного ответа. Администраторы HackerOne даже не стали комментировать, повлияли ли на расценки многочисленные отчеты об уязвимостях, созданные искусственным интеллектом.
«Программа Internet Bug Bounty представляет собой уникальную динамическую инициативу, в которой уровни вознаграждения автоматически корректируются в зависимости от вклада активных спонсоров-участников, – заявил изданию представитель HackerOne. – Выплаты в рамках этой программы регулярно пересматриваются в соответствии с описанием программы IBB».
Множество специалистов по этичному взлому столкнулись с резким сокращением выплат со стороны платформы HackerOne. Один из них, представившийся изданию как Якуб Циолек (Jakub Ciolek), рассказал, что осенью 2025 года через программу Internet Bug Bounty он направил отчет о двух уязвимостях, вызывающих отказ в обслуживании (DoS), в Argo CD — популярный инструмент для работы с Kubernetes.
Сведения об обнаруженных «брешах» попали к разработчикам Argo CD, и они оперативно устранили их. Циолек надеялся получить за свою работу около $8500, однако его вознаграждение оказалось нулевым.
Вместо честной выплаты HackerOne игнорировала этичного хакера на протяжении нескольких месяцев. Только после того, как журналисты The Register напрямую обратились к представителям платформы с вопросом о проблеме, они удостоили его электронным письмом, но не деньгами.
В этом письме платформа HackerOne выразила благодарность Циолеку за его терпение. Также в сообщении указывалось, что его отчеты об уязвимостях остаются «в ожидании обработки вознаграждения из-за временной операционной задержки» (pending reward processing due to a temporary operational backlog). И это несмотря на то, что обе уязвимости уже давно были исправлены.
Еще один собеседник The Register также сообщил, что месяцами ждал выплаты от HackerOne. Когда деньги наконец поступили, сумма составила всего $297, что значительно меньше ожидаемой.
Собеседники издания подчеркивают, что HackerOne снизила свои расценки уже после того, как многие этичные хакеры выполнили заявки и выявили уязвимости. Таким образом, сложилась ситуация, когда все они работали за вполне определенную сумму и рассчитывали увидеть именно ее на своих счетах, но в итоге получили гораздо меньше.
«Проблема в том, что изменения были фактически внесены спустя долгое время после того, как работа уже была выполнена, исправлена и публично отмечена, при других ожиданиях», — заявил изданию Якуб Циолек. Он также добавил, что на фоне происходящего прекратил поиск уязвимостей в рамках программ вознаграждения за обнаружение багов, но будет сообщать о серьезных проблемах по мере их выявления.
