Když se řekne hacker, většina lidí si takového člověka pravděpodobně představí jako internetového zločince, který si vydělává krádežemi peněz či osobních dat nebo třeba vydíráním. To ale rozhodně neplatí ve všech případech. Mnoho hackerů totiž v současnosti mění strany a místo zneužívání chyb nalezených v zabezpečení jednotlivých webů je nahlašují daným firmám, které je za to samozřejmě následně odmění.
Tyto takzvané bug bounty programy už fungují více než 10 let, v poslední době ale získávají na popularitě jak u jednotlivých firem, tak u samotných hackerů. Ti si nalezením jedné chyby v zabezpečení webu či aplikace mohou vydělat desítky tisíc korun, přičemž v případě opravdu zásadního problému u velké společnosti se odměna může vyšplhat až do výše několika milionů. Atraktivitě bug bounty napomáhá rovněž skutečnost, že se jedná o legální činnost, tudíž se hackeři nemusí bát jakýchkoliv problémů s policií.
Motivace ze strany jednotlivých společností je pak také zcela očividná. I přes poměrně vysoké odměny si totiž firmy spočítaly, že se jim spíše vyplatí hackerům zaplatit, než aby chyby v jejich zabezpečení využili proti nim. Důležitou roli zde samozřejmě hraje rovněž reputace, jelikož jakékoliv závažné bezpečnostní zneužití může výrazně poškodit image dané společnosti.
Google rozdal hackerům přes miliardu
Svůj bug bounty program v současnosti provozují téměř všechny velké světové technologické firmy, jako je třeba Google, Microsoft, Apple, Meta, OpenAI a další. K nim se ale přidávají i ostatní giganti z jiných oborů, mezi nimiž nechybí Amazon, Uber, Booking, ba dokonce ani čínské Temu.
Konkrétně Google provozuje svůj bug bounty program už od roku 2010, přičemž během této doby podle firemního blogu za nalezení chyb zaplatil zhruba 59 milionů dolarů (téměř 1,4 miliardy korun). Tato částka přitom v průběhu let razantně narůstá, takže zatímco před devíti lety hackeři celkově získali asi dva miliony dolarů, vloni už to bylo přibližně deset milionů.
Společnost zároveň uvedla, že v roce 2023 se nejvyšší vyplacená odměna pro jednoho hackera vyšplhala na 113 337 dolarů (téměř 2,7 milionu korun). Celkově pak firma vloni vyplatila odměny 632 lidem, kteří pocházeli z 68 různých zemí. Americký technologický gigant je každopádně se svým programem bug bounty spokojený, a proto nedávno oznámil i jeho rozšíření, které má reagovat na hrozby plynoucí z rozvoje umělé inteligence.
Hackeři míří do síně slávy
Podobně rozsáhlé bug bounty jako Google má také společnost Microsoft, jež tento program podle svého blogu spustila v roce 2013. Za 10 let jeho fungování firma hackerům vyplatila 63 milionů dolarů (téměř 1,5 miliardy korun), přičemž přibližně zhruba 59 milionů bylo vyplaceno v posledních pěti letech. Ve stejné době se do celkem 22 bug bounty programů Microsoftu zapojilo 1117 hackerů, kteří nahlásili 5446 chyb. Nejvyšší odměna se přitom vyšplhala na zhruba 200 tisíc dolarů (asi 4,7 milionu korun).
Kromě velkých zahraničních společností využívají bug bounty rovněž firmy z Česka, přičemž asi nejdéle tuto možnost nabízí T-Mobile. „S dosavadním fungováním našeho programu jsme spokojeni. Máme ho relativně otevřený jak z pohledu kontrolovaných domén, tak z pohledu zúčastněných hackerů. Na druhou stranu i v této oblasti jde vývoj kupředu a dlouhodobě vyhodnocujeme možnosti integrace programu do větší Bugbounty platformy,“ uvedl pro Euro.cz ředitel T-Mobilu pro oblast Protect & Security Zdeněk Grmela.
Podle něj firma díky hackerům ročně objeví okolo stovky chyb. Každou z nich samozřejmě T-Mobile finančně ohodnotí podle její závažnosti, průměrná výše odměny se aktuálně pohybuje v řádu desetitisíců korun. Jména úspěšných hackerů navíc společnost zveřejnění na svém webu v takzvané síni slávy, přičemž z tamního seznamu je patrné, že kromě Čechů chyby často hledají a nachází i cizinci.
Firmy si bug bounty pochvalují
Další českou společností s bug bounty programem je třeba MONETA Money Bank, která ho zavedla teprve v polovině roku 2023. „Program jsme spustili vlastními silami a jednotlivé nálezy si sami technicky ověřujeme. Díky již zavedeným bezpečnostním procesům jsme v neustálém kontaktu s vývojáři a analytiky, takže je vyhodnocení reportů rychlý a efektivní proces. S fungováním bug bounty programu jsme tedy spokojeni,“ řekla Lucie Leixnerová, seniorní specialistka komunikace z MONETA Money Bank.
Hackeři už této bance nahlásili zhruba sto různých reportů o chybách, jejichž validita se pohybuje kolem 65 procent. Výše průměrné vyplacené odměny je pak v nižších desítkách eur, protože naprostá většina nálezů je minoritního charakteru bez reálného dopadu.
„K bug bounty je také nutné podotknout, že hackeři nahlašují opravdu všechno, co může být spjaté s brandem Moneta. Stalo se nám tedy, že díky oznámení pro nás nerelevantní zranitelnosti jsme technickou analýzou zjistili, že jedna konkurenční banka na tento typ zranitelnosti opravdu trpí. S danou bankou jsme informaci samozřejmě sdíleli,“ doplnila Leixnerová.
Zdá se tedy, že bug bounty programy jsou v poslední době skutečně na vzestupu, a jejich počet se bude pravděpodobně nadále zvyšovat. Jednotlivé firmy i hackeři si totiž dobře uvědomují, že se jedná o velmi výhodný druh spolupráce, z něhož můžou těžit obě zapojené strany.
