Het zoeken naar beveiligingslekken in programma's, webapplicaties en andere software is voor veel onderzoekers inmiddels een lucratieve bezigheid, waarbij een Indiase student er zelfs zijn opleiding mee betaalt. Shashank Kumar, op Twitter bekend als cyberboyIndia, zou inmiddels zo'n 30.000 dollar met zijn bugmeldingen hebben verdiend. Daarmee heeft hij het grootste deel van zijn opleiding kunnen bekostigen, zo laat hij tegenover The Verge weten.

Ondanks de inkomsten zeggen veel onderzoekers die aan zogeheten "bug bounty" programma's meedoen dat ze niet fulltime naar kwetsbaarheden zoeken, maar dat het eerder een bijbaantje is of een manier om extra inkomsten te genereren. Inkomsten die op de zwarte markt hoger liggen. Toch zouden de meeste hackers voor een officieel beloningsprogramma kiezen, zo stelt Alex Rice, voormalig beveiligingschef bij Facebook en tegenwoordig CTO van HackerOne.

"Om iets op de zwart markt te verkopen moet je er een wapen van maken. Dat kan maanden duren", aldus Rice. De meeste hackers hebben volgens hem wel de vaardigheden, maar geen kwade bedoelingen. Toch komt het ook voor dat hackers vinden dat ze niet genoeg geld kregen of dat bugs niet snel genoeg worden opgelost. Vaak besluiten deze hackers dan om het probleem alsnog te openbaren, wat een PR-nachtmerrie voor bedrijven kan zijn, zegt Gus Anagnos van Synack.

Dat kan ervoor zorgen dat bedrijven op elke bugmelding overdreven reageren. "Als een organisatie een pistool tegen zijn hoofd heeft begint het tijd te verspillen aan kwetsbaarheden die niet erg belangrijk zijn", merkt Anagnos op. Er zijn dan ook inmiddels verschillende platformen gelanceerd waar bedrijven zich kunnen aansluiten. Het platform ontvangt de inzendingen en doet de selectie en communicatie, zodat het bedrijf alleen gestructureerde bugmeldingen ontvangt, waardoor die weer eerder kunnen worden opgelost.