GitHub keerde in 2022 ruim 1,5 miljoen dollar uit aan bugbounty's

Hangt van je kennis/kunnen af en je eis van leven.

Als jij extreem goed bent en tevreden bent met bv 20/30k per jaar dan vast wel. Maar ik verwacht dat werken voor een baas/in opdracht je meer geld zal opleveren.

Is dit iets wat je als zelfstadinge full time zou kunnen doen?

Als je heel goed bent wel maar aantrekkelijk is het niet.
1.5 miljoen dollar lijkt een hoop geld maar een goede security expert kan in de VS tonnen per jaar verdienen. Dan is 1.5M snel op.

Gemiddeld wordt er ongeveer $800 per melding betaalt dus dan zal je minstens 1 melding per week moeten doen om een mager salaris te verdienen (voor het soort werk dat je doet). Als je goed bent krijg je wellicht meer voor minder meldingen maar zelfs als je meldingen worden geaccepteerd zal je er toch iedere maand flink wat tijd in moeten steken. En niet alleen in het vinden van fouten maar ook in het schrijven van een rapportje, uitleggen wat je gevonden hebt, bewijzen dat het echt een gevaar is, achter je geld aan gaan, etc... Als ZZPer moet je dan ook nog zorgen (en betalen) voor verzekeringen, belasting, etc...

Ik denk dat je het goed met het Amerikaanse Uber kan vergelijken. Als je toch al die kant op rijdt kun je (in sommige landen) makkelijk iets bijverdienen door iemand mee te laten rijden, de benzine en afschrijving op je auto moest je toch al betalen. Maar als je full time voor Uber gaat rijden en dus extra kilometers maakt is het helemaal niet zo interessant en kun je misschien beter voor echt taxi-bedrijf gaan werken.

Het maakt natuurlijk wel veel uit waar je woont en wat je nodig hebt en wat je omstandigheden zijn. In delen van de wereld waar de lonen (en huren) lager zijn dan hier is het natuurlijk aantrekkelijker. Als je om een of andere reden niet regelmatig of op "normale" tijden kan werken dan kan het een interessante bijbaan zijn.

Uiteindelijk kom ik toch steeds terug bij het punt dat er andere manieren zijn om meer geld te verdienen als je de skills hebt om dit fulltime te doen.

[Reactie gewijzigd door CAPSLOCK2000 op 24 juli 2024 14:08]

Jazeker, er zijn cursussen en trainingen voor. Ook zijner diverse internet sites zoals https://owasp.org/www-project-web-security-testing-guide/.

Ook kun je je certificeren: https://www.tstc.nl/train...2S5wa4EAAYAyAAEgLuQvD_BwE

Met voldoende inzet en motivatie, kan dit mogelijk zijn. Ik raad wel aan om het te proberen naast een part-time baan, om de druk/stress weg te nemen indien je niet voldoende bugs kan vinden. Als je meerdere maanden achter elkaar voldoende kwetsbaarheden hebt gevonden, dan zou ik full-time overwegen.

Kijk op YouTube, je basis kennis is een factor en of je een beetje een hacker instelling hebt dus interesse in beveiligingen omzeilen, bijv lock picking.
Er zijn diverse platforms zoals intigriti of hacker one daar staan bedrijven die dit gebruiken om veiliger te worden. Let op je registreren is wel belangrijk anders kunnen je activiteiten juridisch problematisch worden, Je blijft verantwoordelijk dus niet iets kapot maken privacy gevoelige toestanden.. Er zijn kleine dingen zoals idors maar na rapportage kan het maanden duren voor uitbetaling. Als je een kwetsbaarheid in crypto vindt bijv in een bridge kan het veel opleveren maar technisch ingewikkeld om van kwetsbaarheid naar een voorbeeld van het gebruik om bijv crypto munten te kunnen stelen. In crypto kun je op coingecko of CoinMarketCap zien of er bug bounties zijn.
Ook zijn er conferenties zoals Pwn2Own waar o.a. Tesla aan meewerkt en je er direct een tesla en geld kunt winnen afhankelijk van de graad van impact.

blackboard

bedoel je black box? Maar ja, ik vind het absurd dat het maar normaal is om 1000en externe dependencies in te laden zonder enige vorm van controle en die uit te voeren. Als we 1000 vreemde programmas van internet downloaden en uitvoeren is dat een risico, maar 1000 libraries binnenhalen via een package manager en uitvoeren op je persoonlijke machine (incl. volledige toegang tot je file system en netwerk) is normaal.

Er hoeft maar 1 pakketje te zijn die even alle development databases (wie heeft er persoonsgegevens staan in development databases, handen omhoog!), je downloads-folder, environment variablen, .envrc files, SSH keys, opgeslagen browser wachtwoorden, browser cookies, opgeslagen db credentials in DB admin tools en opgeslagen API credentials in relevante tools (postman e.d.) upload naar een server en je hangt. Al deze gegevens kan een willekeurige dependency lezen zonder restricties, en je zal het niet eens merken.

Los van de development databases hoeft dit maar een paar seconden te duren en ik durf te wedden dat bij de meeste ontwikkelaars zo extreem gevoelige data gelekt kan worden.

[Reactie gewijzigd door Gamebuster op 24 juli 2024 14:08]

Ten eerste, dat zijn ze waarschijnlijk zelf.
Ten tweede, wat is eigenlijk een bug? Vaak wordt een stukje code geschreven, en dan later hergebruikt op een manier die niet bedoeld was of nooit bedacht was. Wie wil je dan aanspreken?
Ten derde, zolang er enorme druk ligt op het releasen van software en er relatief weinig aandacht voor testen is, zullen er nog wel een hoop bugs bij komen.

Euhm, het zijn bugs van github, die deze bounties zelf uitkeert...

Maar als je bedoelt dat ze dit gaan innen bij de specifieke programmeurs die in loondienst zijn bij github: dan gaan die programmeurs alleen wel eisen dat ze voor elke merge request die ze aanmaken ze ook twee weken krijgen om een volledige security audit te doen. En dat als ze iets moeten aanpassen in code die niet helemaal duidelijk is ze eerst een maand krijgen om het volledige component te herschrijven, uiteraard weer met uitgebreide vooranalyse en review. Dat gaat github honderd keer meer kosten dan deze bounties.

Schade die een werknemer veroorzaakt als onderdeel van zijn werk komt in het algemeen gewoon op het bordje van de werkgever, tenzij die fout een bewuste actie is of grove nalatigheid. Als je het graag anders ziet mag je de lonen ook wel vervijfvoudigen om te compenseren voor het risico dat je op een normale werkdag gewoon je ding doet, een klein dingetje over het hoofd ziet en ineens een miljoenenclaim op je dak hebt. Dat laatste is puur hypothethisch want zo het risico op werknemers afwentelen gaat je in ieder geval in Nederland niet lukken.

[Reactie gewijzigd door bwerg op 24 juli 2024 14:08]

Je bedoelt hun eigen werknemers?