Платформа HackerOne уменьшила выплаты за поиск уязвимостей. Вознаграждения за наиболее опасные из них снизились более чем на 75%. HackerOne представляет собой наиболее известную и крупнейшую мировую площадку для этичных хакеров, которые зарабатывают на обнаружении недостатков безопасности. Ранее она функционировала и в России, однако теперь придерживается антироссийских санкций.
Площадка HackerOne, предоставляющая возможность этичным хакерам зарабатывать на поиске уязвимостей, практически прекратила оплачивать их усилия. Как сообщает The Register, в некоторых случаях размер выплат сократился на 75%, особенно это касается сумм, выплачиваемых за обнаружение критических, наиболее серьезных уязвимостей.
Платформы для этичных хакеров выступают посредниками между компаниями и самими специалистами. Первые размещают на таких ресурсах заказы на поиск уязвимостей, а вторые откликаются на эти предложения. Площадка получает свою комиссию с таких сделок.
HackerOne — самая известная и разрекламированная платформа подобного типа. До 2022 года она работала и в России, но теперь поддерживает антироссийские санкции. За это время в России появилось несколько отечественных аналогов.
The Register приводит в пример анонимного этичного хакера, который давно сотрудничает с HackerOne. Его последний чек оказался значительно меньше прежнего, несмотря на тот же объем работы.
По его словам, в рамках программы HackerOne Internet Bug Bounty он обнаружил уязвимость средней степени опасности, за которую ранее платили $1843. Теперь же HackerOne выплатила ему всего $297, то есть в 6,2 раза меньше.
Вознаграждение за обнаружение критической уязвимости на площадке упало с прежних $9250 до $2257. Нахождение чуть менее опасных «брешей» ранее оценивалось в $4429, а теперь стоит $1009.
Уязвимости с минимальным уровнем опасности теперь практически ничего не приносят. Их обнаружение принесет хакеру всего $68 вместо прежних $597.
Эксперты The Register обратились к представителям платформы с вопросом о ситуации, но не получили вразумительного ответа. Администраторы HackerOne даже не ответили, повлияли ли на расценки многочисленные отчеты об уязвимостях, созданные искусственным интеллектом.
«Программа Internet Bug Bounty — это уникальная, динамичная программа, в которой уровни вознаграждения автоматически корректируются в зависимости от вклада активных участников-спонсоров, — заявил изданию представитель HackerOne. — Выплаты в рамках этой программы регулярно пересматриваются в соответствии с описанием программы IBB».
Множество «белых хакеров» столкнулось с резким уменьшением сумм выплат со стороны HackerOne. Один из них, представившийся изданию под именем Якуб Циолек (Jakub Ciolek), рассказал, как осенью 2025 года в рамках программы Internet Bug Bounty он направил отчет о двух уязвимостях, ведущих к отказу в обслуживании (DoS), в Argo CD — популярный инструмент для работы с Kubernetes.
Сведения о выявленных «брешах» дошли до команды разработчиков Argo CD, и они оперативно устранили их. Циолек надеялся получить за свою работу около $8500, однако его вознаграждение оказалось нулевым.
Вместо честного перевода средств HackerOne игнорировала «белого» хакера на протяжении нескольких месяцев. Только после того, как журналисты The Register напрямую обратились к представителям платформы с вопросом о проблеме, они соизволили отправить ему электронное письмо, но не деньги.
В этом письме платформа HackerOne выразила благодарность Циолеку за его терпение. Также в письме сообщалось, что его отчеты об уязвимостях остаются «в статусе ожидания обработки вознаграждения из-за временной задержки в работе» (pending reward processing due to a temporary operational backlog). И это несмотря на то, что обе уязвимости уже давно были устранены.
Еще один собеседник The Register также рассказал, что месяцами ждал выплаты от HackerOne. Когда деньги наконец поступили, сумма составила всего $297, что значительно меньше его ожиданий.
Собеседники издания подчеркивают, что HackerOne снизила свои тарифы уже после того, как многие «белые» хакеры выполнили заявки и обнаружили уязвимости. То есть возникла ситуация, когда все они работали за четко оговоренную сумму и рассчитывали увидеть именно ее на своих счетах, но в итоге получили гораздо меньше.
«Суть проблемы в том, что изменения были фактически внесены спустя долгое время после того, как работа уже была завершена, исправлена и публично признана, при других ожиданиях», — заявил изданию Якуб Циолек. Он также добавил, что в свете происходящего он прекратил поиск уязвимостей в рамках программ вознаграждения за обнаружение багов, но продолжит сообщать о серьезных проблемах по мере их выявления.
