Правда что за найденные баги реально платят деньги? Это не развод?
Услышал, что можно найти уязвимость на сайте крупной компании и тебе за это заплатят. Звучит слишком хорошо. Это правда работает или какая-то городская легенда? И если правда — как это устроено законно, чтобы не загреметь?
2 ответа
Это чистая правда, и называется bug bounty. Компании официально объявляют: «если найдёте у нас уязвимость и сообщите по правилам — заплатим вознаграждение». Это им выгоднее, чем ждать, пока дыру найдут злоумышленники.
Как это работает законно:
- Регистрируешься на платформе — HackerOne, Bugcrowd, Intigriti, в РФ — Standoff Bug Bounty.
- Выбираешь программу. У каждой есть scope (что тестировать можно) и правила. Тестировать можно только то, что разрешено в программе — это и есть твоё легальное разрешение.
- Находишь баг, пишешь понятный отчёт с шагами воспроизведения.
- Компания проверяет и платит.
Суммы реальные: от $50–100 за мелочь до десятков тысяч долларов за критическую уязвимость в крупной компании. Отдельные багхантеры зарабатывают этим как основным доходом.
Критически важно: вознаграждение платят ТОЛЬКО если ты действовал в рамках программы. Полез на сайт, которого нет в scope, — это уже не bug bounty, а правонарушение. Поэтому сначала всегда читай правила программы.
Для старта лучше сначала прокачаться на TryHackMe/HackTheBox, а потом идти за реальными багами — конкуренция там серьёзная, но порог входа честный.
Подтверждаю из практики. Только не жди лёгких денег в первую неделю — первые баги ищутся долго, и часто их уже нашли до тебя (статус «duplicate»). Это нормально.
Начни с программ с пометкой VDP (Vulnerability Disclosure Program) — там часто платят не деньгами, а репутацией и баллами, зато конкуренция ниже и можно набить руку. А ещё многие платформы разрешают участвовать с 16 лет (иногда с согласия родителей) — проверь правила.
