Платформа HackerOne, осуществляющая управление многими программами вознаграждения исследователей за найденные уязвимости (bug bounty), официально объявила о существенном сокращении выплат в рамках программы Internet Bug Bounty (IBB). Эта программа адресована исследователям, отслеживающим уязвимости в проектах с открытым исходным кодом. Так, награда IBB за критическую уязвимость составляет теперь 2257 долларов по сравнению с прежними 9250 долларами. Уязвимости высокой степени опасности теперь приносят 1009 долларов, тогда как раньше за них выплачивалось 4429 долларов. А уязвимости с низкой угрозой приносят исследователям 68 долларов вместо прежних 597 долларов. При этом сама программа IBB от HackerOne уже несколько месяцев остаётся приостановленной и не принимает новые заявки.

Печальнее всего, что многие исследователи успели попасть в этот «временной зазор». Они сообщали об уязвимостях еще в момент, когда действовали прежние расценки. Но рассмотрение их сообщений растянулось на месяцы, и в результате они получили куда меньшие суммы, чем рассчитывали. Представители HackerOne предпочитают комментировать ситуацию самыми общими фразами: «Программа IBB в настоящее время поставлена на паузу, пока мы оцениваем изменения, которые позволят максимизировать ценность для исследователей, спонсоров и экосистемы open source. Мы остаёмся привержены укреплению безопасности open source с помощью этичных исследований безопасности».

Специалисты полагают, что причиной приостановки программы IBB и снижения выплат стал бурный рост числа сообщений об уязвимостях. Он же, в свою очередь, порожден совершенствованием систем искусственного интеллекта. Они уже очень неплохо справляются и с поиском уязвимостей ПО, и особенно с составлением отчетов об этих уязвимостях (ошибки и неточности в отчетах ранее являлись главной причиной, по которой исследователям отказывали в выплатах). В этой связи многие «этичные хакеры» уже заявляют о том, что больше не намерены заниматься исследованиями для bug bounty программ.