#СтартапДня: HackerOne — сервис по организации тестирования на уязвимости

Развитие событий: #СтартапДня: Lifelock — защита от кредита по украденному паспорту (30 марта)

Платформу для гуру машинного обучения Google уже купил, платформа для специалистов по интернет-безопасности пока независима. #стартапдня hackerone — сервис по организации тестирования на уязвимости.
Схема его работы максимально проста: продукт, желающий лишний раз убедиться в своей защищенности, пишет объявление в стиле «изучать вот этот раздел, плачу $100 за XSS, $300 за SQL-инъекцию, $1000 за удаленное исполнение кода, ошибки отправлять в таком-то формате», hackerone его публикует для своих пользователей и те, кого прельщают озвученные числа и громкое имя потенциального заказчика, начинают тестирование.
Найденные проблемы отправляются через интерфейс hackerone, он старается в какой-то степени защитить получателя от сотен уведомлений об одной и той же уязвимости, но выходит у него далеко не идеально. Кроме того, Hackerone обеспечивает арбитраж, если сервис не согласен с тем, что ошибка подпадает под условие программы, а нашедший её хакер настаивает на своей правоте.
Формальная экономика так же, как у Kaggle, перекошена в пользу компании: $100 за уязвимость — это довольно близко к реальной средней цене (они пишут про $500, но, кажется, преувеличивают), и это, конечно, очень дешево. Если собственный аудит уже есть и всё очевидное нашел, то удвоение его качества обычными средствами выйдет кардинально дороже, выигрыш от конкурса очевиден. Hackerone зарабатывает свои 20% комиссии и небольшие деньги за дополнительные фичи при организации процесса — это, с одной стороны, прямая выручка с почти нулевыми затратами на каждый конкурс, а с другой — очень маленькое число в абсолютных значениях, миллионов пять долларов за всю историю стартап заработал, ничтожно даже по сравнению с инвестициями. И, наконец, большинство хакеров тратят свое время формально впустую, куда выгоднее был бы обычный фриланс (и в Индии тоже). Но у пива перед телевизором участие в конкурсе выигрывает — и интереснее, и хоть сколько-то, но заплатить могут. Ну, а кому-то и редчайшие дорогие баги достаются, текущий рекорд выплаты — тридцать тысяч долларов.
Сообщество hackerone тоже строит, но не так эффективно, как Kaggle, крутейшие хакеры хотят быть анонимными (а школота тем более), да и тем для открытого обсуждения на весь свет в этой отрасли меньше. В итоге, пока есть только рейтинг хакеров, помогающий компаниям скринить присланные ошибки и не более того. Историй с наймом тоже меньше, чем у датамайнеров, открыто вообще ничего не происходит.
При этом вложено в hackerone куда больше, чем в Kaggle, 74 миллиона долларов против 13, и оценка у него существенно выше — 125 миллионов была два года назад, в предыдущем раунде; в последнем её не озвучивали, но она явно выросла, а проект ещё не продан. Экономически такое оправдать явно невозможно, остается расчёт на продажу базы. И не ругайте меня за конспирологию, но кроме спецслужб, такие специалисты в промышленных масштабах никому вроде бы не нужны. Ну и чтобы понагнетать:"a strategic investor the company chose not to disclose" - это из описания последнего раунда.