Все началось с того, что меня заблокировали в собственном банковском приложении из-за подозрительной активности. Я просто пытался оплатить покупку за границей, находясь в командировке, и система решила, что это мошенник. После двух часов общения с поддержкой и разблокировки аккаунта я задумался: а насколько вообще эффективны эти системы защиты? Тогда я еще не знал, что это любопытство превратится в небольшой источник дохода на следующие полгода.
Первые шаги в баг-баунти
Покопавшись в интернете, я обнаружил, что многие банки запускают программы bug bounty – платят деньги тем, кто находит уязвимости в их системах безопасности. Правила были четкими: никакого взлома реальных аккаунтов, только легальное тестирование на специальных тестовых средах или с предварительным согласием банка. Я зарегистрировался на платформе HackerOne и начал изучать базовые принципы тестирования безопасности мобильных приложений.
Первый месяц ушел на обучение. Я прошел несколько онлайн-курсов по информационной безопасности, изучил OWASP Mobile Top 10 – список самых распространенных уязвимостей в мобильных приложениях. Параллельно разбирался с инструментами вроде Burp Suite, которые позволяют перехватывать и анализировать трафик между приложением и сервером. Инвестиции в обучение составили около 15 тысяч рублей, что для меня было существенной суммой.
Поиск первой уязвимости
Свою первую серьезную находку я сделал в приложении среднего по размеру банка через два месяца практики. Я заметил, что при восстановлении пароля система отправляет SMS-код, но не ограничивает количество попыток его ввода. Теоретически это позволяло подобрать четырехзначный код методом перебора, если автоматизировать процесс. Я задокументировал проблему, приложил скриншоты и видео, описал потенциальные риски и отправил отчет через официальную программу.
Ожидание ответа затянулось на три недели. За это время я успел найти еще пару мелких проблем в других приложениях, но они оказались уже известными или недостаточно критичными. Когда пришло подтверждение от первого банка, выплата составила 30 тысяч рублей – неплохо за находку, которую я сделал за пару вечеров. Деньги пришли через месяц после подтверждения, что стало неприятным сюрпризом, потому что я рассчитывал на более быструю выплату.
Трудности и разочарования
Основная проблема оказалась в том, что большинство банков просто не имеют открытых программ bug bounty. Я отправлял письма напрямую в службы безопасности, но часто получал формальные отписки или вообще не получал ответа. В одном случае я нашел довольно серьезную уязвимость, позволявшую получить доступ к частичной информации о других пользователях, но банк сначала проигнорировал мое сообщение, а потом, когда я повторно написал через два месяца, заявил, что проблема уже исправлена и вознаграждение не полагается.
Еще одна трудность – юридическая сторона вопроса. В России законодательство в этой сфере достаточно размыто, и теоретически даже легальное тестирование можно трактовать как попытку несанкционированного доступа. Я консультировался с юристом и понял, что нужно все действия фиксировать документально, работать только через официальные программы и никогда не тестировать без явного разрешения. Это серьезно ограничивало возможности заработка.
Специализация на фишинге
Со временем я переключился на другое направление – тестирование защиты от фишинга и социальной инженерии. Некоторые банки заказывали такие проверки отдельно: я создавал поддельные страницы входа, имитировал фишинговые письма и SMS, проверял, насколько легко можно обмануть пользователей и обойти защиту приложения. Это было интереснее и прибыльнее, хотя требовало больше креативности и времени на подготовку.
Один проект принес мне 85 тысяч рублей. Банк хотел проверить, как их система распознает поддельные биометрические данные при удаленной идентификации. Я потратил неделю на создание тестовых сценариев, включая попытки обмануть систему распознавания лиц с помощью фотографий и видео. Результаты оказались тревожными: примерно в 15% случаев система пропускала очевидно фальшивые попытки аутентификации. Заказчик был доволен, а я получил не только оплату, но и предложение о долгосрочном сотрудничестве.
Реальный заработок и время
За полгода активной работы я заработал около 320 тысяч рублей. Звучит неплохо, но если честно, времени на это ушло очень много. В среднем я тратил по 20-25 часов в неделю на поиск уязвимостей, написание отчетов, обучение и коммуникацию с заказчиками. Если пересчитать на почасовую ставку, получается около 600-700 рублей в час – для фрилансера в IT это средний показатель, а не заоблачный доход.
Самым неприятным оказалось то, что большая часть работы не оплачивается. Ты можешь неделю анализировать приложение, не найти ничего критичного, и получить ноль рублей. Или найти проблему, но она окажется дубликатом того, что кто-то уже отправил неделю назад. Коэффициент конверсии затраченного времени в деньги был примерно один к трем: на каждый час оплаченной работы приходилось два-три часа бесполезных поисков.
Неожиданные инсайты
Самое ценное, что я получил из этого опыта – понимание того, насколько уязвимы на самом деле наши финансовые данные. Большинство банковских приложений защищены вполне прилично от технических атак, но совершенно беспомощны против социальной инженерии. Я видел случаи, когда сотрудники банков по телефону выдавали конфиденциальную информацию, просто потому что звонящий уверенно представился клиентом. Системы защиты настроены на отражение хакерских атак, но простого звонка от «менеджера банка» или SMS с поддельной ссылкой часто достаточно, чтобы получить доступ к чужому счету.
Еще я понял, что банки крайне неохотно делятся информацией о найденных проблемах с общественностью. Даже после исправления серьезных уязвимостей они предпочитают молчать, чтобы не подрывать доверие клиентов. С одной стороны, это понятно с точки зрения бизнеса, с другой – создает ложное ощущение безопасности у пользователей, которые думают, что их деньги под надежной защитой.
Почему я остановился?
Через полгода я прекратил заниматься этим активно. Основная причина – выгорание от постоянной неопределенности. Ты никогда не знаешь, найдешь ли что-то ценное на этой неделе или потратишь время впустую. Плюс начались проблемы с мотивацией: после нескольких отказов в выплатах и игнорирования отчетов желание тратить вечера на поиск уязвимостей резко упало. Я понял, что для стабильного заработка это не подходит – слишком много зависит от удачи и настроения службы безопасности конкретного банка.
Сейчас я иногда возвращаюсь к этому, когда появляется интересная программа с хорошими выплатами, но больше не рассматриваю bug bounty как основной источник дохода. Знания и навыки, которые я получил, оказались полезнее денег: я стал гораздо осторожнее обращаться с финансовыми приложениями, научился распознавать фишинг и понимать, как на самом деле работают системы защиты. Возможно, для кого-то это может стать хорошим дополнительным заработком, но нужно быть готовым к большому количеству неоплачиваемой работы и бюрократическим сложностям.
