Джейсон Хаддикс, опытный специалист в области баг-баунти, представил доклад о проблемах и недостатках в индустрии охоты за уязвимостями. Он рассказал о своем опыте работы на всех сторонах экосистемы: как охотник за багами, как сотрудник платформы баг-баунти и как владелец программы.
Хаддикс выделил несколько ключевых проблем в индустрии. Во-первых, платформы баг-баунти используют данные об атаках и исследованиях хакеров для обучения ИИ и создания инструментов обнаружения уязвимостей, не предоставляя компенсацию исследователям. Во-вторых, компании, предоставляющие облачные WAF, мониторят трафик лучших охотников за багами, чтобы улучшить свои продукты, опять же без компенсации.
Докладчик также затронул проблемы, связанные с бюджетами программ и оценкой уязвимостей. Часто компании недооценивают необходимый бюджет для публичных программ, что приводит к занижению оценок уязвимостей или группировке багов для экономии средств. Хаддикс раскритиковал практику использования диапазонов выплат, отметив, что менее 15% клиентов когда-либо платят выше минимума указанного диапазона.
Особое внимание было уделено проблеме "звездности" в сообществе. Известные исследователи имеют преимущества в виде прямого доступа к руководству платформ и приоритетной поддержки, что создает неравные условия для новичков. Хаддикс также упомянул случаи кражи исследований внутренними триажерами платформ и подчеркнул необходимость высоких этических стандартов в индустрии.
В заключение Хаддикс предложил несколько советов для охотников за багами, включая тщательное описание воздействия уязвимости и стратегическое представление отчетов. Он подчеркнул, что платформы должны лучше ценить своих исследователей, так как они являются ключевым продуктом в экосистеме баг-баунти. Докладчик призвал к улучшению коммуникации между всеми участниками процесса и более прозрачной документации всех этапов работы с уязвимостями.
https://www.youtube.com/watch?v=6SNy0u6pYOc