Bug Bounty dasturlari tashkilotlar uchun samarasiz deb topildi.
Ommabop e’tiqoddan farqli o’laroq, ko’p sonli tadqiqotchilarni jalb qiladigan mukofot dasturlari tashkilotlarga katta foyda keltirmaydi.
Massachusets Texnologiya Instituti (MIT) tadqiqotchilari tomonidan o’tkazilgan tadqiqotga ko’ra, tashkilotlar uchun zaiflik bounty dasturlarini ishga tushirishdan ko’ra, xavfsizlik bo’yicha tadqiqotchilarni to’g’ridan-to’g’ri yollash foydaliroq. Tadqiqotchilar Facebookning bounty dasturini, shuningdek, Twitter, Coinbase, Square va boshqa kompaniyalar uchun HackerOne platformasida ishga tushirilgan 60 dan ortiq dasturlarni o’rganib chiqdilar.
Ommabop e’tiqoddan farqli o’laroq, ko’p sonli tadqiqotchilarni jalb qiladigan mukofot dasturlari tashkilotlarga unchalik foyda keltirmaydi. Odatda, tadqiqotchilarning atigi kichik bir qismi yuqori sifatli zaiflik hisobotlarini taqdim etadi va mukofot pulining katta qismini aynan shu tadqiqotchilar tashkil qiladi.
Tadqiqotga ko’ra, Facebook dasturining eng «samarali» yetti ishtirokchisi oyiga o’rtacha 0,87 ta xato topib, yiliga atigi 34 255 dollar ishlab topgan, HackerOne dasturlarida esa eng yaxshi natijalarga erishganlar oyiga o’rtacha 1,17 ta xato topib, atigi 16 544 dollar ishlab topishgan.
Albatta, istisnolar ham mavjud. Masalan, turli platformalar uchun eksploitlarni sotib olish va sotishga ixtisoslashgan Zerodium kompaniyasi yaqinda iOS eksploitlari uchun mukofot miqdorini 2 million dollargacha oshirdi. Biroq, ko’plab xavfsizlik tadqiqotchilari uchun mukofot dasturlari asosiy daromad manbaidan ko’ra ularning maoshlariga qo’shimcha hisoblanadi.
