Цена 0-day уязвимости определяется не только её сложностью или потенциальными последствиями эксплуатации, но и тем, кто именно готов заплатить и с какой целью. Деньги платятся либо за обнаружение (чтобы быстро устранить риск), либо за возможность использовать уязвимость для своих интересов. На чёрном рынке конечная сумма — баланс между спросом и готовностью нарушить закон.
Что такое 0-day и кто их покупает
0-day — это уязвимость, о которой не знает разработчик, значит, она ещё не закрыта публичным патчем или официальным обновлением. Такие знания обладают самостоятельной ценностью и, в зависимости от целей, могут стать предметом сделки между разными участниками.
Основные категории покупателей:
- Государственные организации — используют для защиты критической инфраструктуры, проведения специальных операций, тестирования собственных систем.
- Корпорации — стремятся обеспечить безопасность своих продуктов и сервисов, минимизировать риски и реагировать на угрозы раньше конкурентов или злоумышленников.
- Частные лица и исследовательские команды — участвуют в Bug bounty, ведут собственные изыскания, строят личную репутацию.
- Нелегальные субъекты — преступные группы, отдельные лица, чья цель — эксплуатация уязвимости для киберпреступлений, шантажа, аудита, обхода защиты.
Цели покупки кардинально различаются: кто-то приобретает знание для защиты и предупреждения, а кто-то — для атаки и собственных выгоды. Поэтому легальность сделки, способ расчёта и размер вознаграждения напрямую зависят от мотивов покупателя.
Официальные программы вознаграждений (Bug bounty)
Компании организуют Bug bounty-программы, чтобы получать сведения об уязвимостях напрямую и легально. Исследователь официально сообщает о находке, проходит проверку, получает выплату по условиям программы.
Выплаты в официальных программах:
- Простые уязвимости веб-приложений — обычно 500–1 500 рублей.
- Критические автоэксплуатируемые уязвимости инфраструктуры — 15 000–50 000 рублей и выше.
- Особо важные уязвимости в ключевых продуктах крупных российских или международных вендоров — до нескольких сотен тысяч рублей.
[ИЗОБРАЖЕНИЕ: Таблица с примерами вознаграждений от российских IT-компаний за различные типы уязвимости]
Деньги получают после внутренней проверки и выпуска патча. Обычно процедура формализована: заполнение формы отчёта, переписка с командой безопасности, подтверждение, затем выплата. Для исследователя это не только финансовая награда, но и ценное упоминание в списке благодарностей, развитие профессиональной репутации.
Цена напрямую зависит от риска и значимости багов для бизнеса компании. Но абсолютный максимум задаётся бюджетом самой программы — выше определённой суммы крупные компании не платят.
Непубличные программы и государственные контракты
Многие государственные органы и крупные организации предпочитают работать с исследователями конфиденциально. Это может быть закрытая программа или прямой контракт — их условия не обнародуются.
В таких моделях цена определяется индивидуально, суммы выплат зачастую существенно выше, чем у публичных Bug bounty, особенно если речь идёт об уязвимостях, угрожающих безопасности критической инфраструктуры или защищённых информационных сетей.
Оформление: официальный контракт, техзадание, этапы проверки, акт выполнения и приемки работ. Вознаграждение идёт как оплата услуги, без премий/призов, с соблюдением требований законодательства в части госзакупок или госконтроля.
Объёмы и детали по таким сделкам не раскрываются. Подобные рынки существуют, не попадая в открытые отчёты ввиду государственной секретности или корпоративной закрытости.
Чёрный рынок: как определяется цена
На нелегальном рынке 0-day продаются прежде всего для целей эксплуатации — чтобы использовать баг, а не закрывать его. Здесь цена зависит от спроса со стороны атакующих, масштаба их операций и уникальности самой уязвимости, а не затрат на её поиск.
| Фактор | Влияние на цену |
|---|---|
| Популярность целевого продукта | В массовых ОС или программном обеспечении баг стоит в разы дороже аналогичного в специализированном софте |
| Критичность | RCE или полный захват контроля крайне ценятся — в разы дороже, чем, например, уязвимость, приводящая только к утечке информации |
| Сложность эксплуатации | Чем проще использовать баг (автоматизация, массовое распространение) — тем выше ценник |
| Уникальность и свежесть | Максимальная цена — у эксклюзивных, «чистых» 0-day. Если баг уже «протёк» в нескольких группах или известен по форумам, ценность резко падает |
| Долговечность | Чем дольше уязвимость сохранит актуальность (будет неизвестна разработчику) — тем выше спрос и цена |
На чёрном рынке нет прозрачных прайсов или гарантий — всё индивидуально, сделки чаще проходят через посредников, оплата — в криптовалютах или через сложные схемы анонимизации.
[ИЗОБРАЖЕНИЕ: Схематичная диаграмма, показывающая соотношение цен на чёрном рынке для разных типов уязвимости: RCE в массовом ПО, утечка данных в корпоративном софте, нишевые уязвимости]
Примерный расклад цен
Из-за высокой изменчивости и закрытости рынка корректнее сравнивать не абсолютные суммы, а пропорции между видами уязвимостей и каналами реализации:
- RCE в популярном продукте (критическая уязвимость):
- В Bug bounty крупного производителя — до 300 000 рублей;
- По закрытому госконтракту — в 3–5 раз выше, до 1 млн рублей и больше;
- На чёрном рынке — при продаже специализированным группам сумма может соответствовать или превышать госконтракт (миллионы рублей), но в ряде случаев колебания велики, всё зависит от покупателя.
- Узкоспециализированные или малозначимые баги:
- Bug bounty — обычно 10 000–20 000 рублей, по стандартной категории;
- Чёрный рынок — спрос минимален, сумма редко превышает несколько тысяч рублей, часть багов вообще не находит покупателей.
Сам рынок дестабилизирован — отсутствует защита сделки, зачастую нет гарантий оплаты, и обе стороны рискуют потерять как деньги, так и профессиональную репутацию.
Почему чёрный рынок не всегда дороже
Не каждая уязвимость ценится высоко на чёрном рынке. Если баг слишком специализирован, не интересен массовым атакующим и его сложно монетизировать, цена быстро падает, а спрос может отсутствовать вовсе. Напротив, для разработчика именно этот недочёт может иметь критичное значение — он заплатит больше по официальной программе, защищая репутацию и своих пользователей.
Официальные Bug bounty создают исследователям зону легальных, пусть не максимальных доходов, предсказуемости и стабильности. Чёрный рынок — для единичных, по-настоящему опасных и массово используемых 0-day, с максимальными, но крайне рискованными ставками.
Риски и последствия для исследователя
Способ реализации найденного бага определяет не только прибыль, но и перспективы исследователя в профессии.
- Официальные каналы — безопасны в юридическом плане, поддерживают карьеру, дают публичное признание.
- Чёрный рынок — нарушает закон, влечёт уголовную ответственность в России и других странах (152-ФЗ, КоАП, УК РФ), создает риск потери легального статуса, невозможности работы в ИТ или безопасности, получить «чёрную метку» в профессиональном сообществе.
- Есть и риски мошенничества: покупатель может не заплатить, баг может оказаться уже раскрытым или быстро закрытым разработчиком, состав преступления доказывается по переписке и движениям токенов в блокчейне.
Часть исследователей пытаются «гибридные» схемы: сначала продают баг на стороне, затем сообщают в Bug bounty для получения официального вознаграждения. Это прямая дорожка к уголовным делам или блокировке от всех крупных программ.
Что делать с найденной уязвимостью
Алгоритм действий зависит от вашей мотивации:
- Стремление к легальности и развитию личности — работать с официальными Bug bounty. Изучать условия, подавать отчёты, собирать портфолио благодарностей; крупные российские ИТ-компании и интернациональные проекты имеют свои программы.
- Работа по контракту или трудовому соглашению — следовать постановлениям договора, сдавать материалы по цепочке своего работодателя или заказчика.
- Решение продать баг на стороне — всегда высокий и некомпенсируемый риск для вас лично, и гарантий практически не бывает.
- Иногда уязвимости публикуют открыто — как часть академических исследований или идеологических позиций. Это не приносит денег напрямую, но укрепляет профессиональное имя.
Стоимость 0-day всегда специфична: она зависит не от трудозатрат или абстрактной опасности, а от спроса конкретных игроков — компаний, государства или группировок. Официальный рынок даёт предсказуемый доход, но ограничивает потолок, а чёрный рынок привлекателен только для сверхценного эксклюзива и сопряжён с максимальными рисками. Исследователь стоит перед выбором между стабильностью, легальностью и репутацией либо быстрой, но крайне опасной выгодой.