В понедельник компания HackerOne объявила о том, что средний размер вознаграждения в долларах вырос, а уязвимости, связные с межсайтовым скриптингом принесли компаниям больше всего головной боли.

27 Июня организатор платформы по поиску уязвимостей опубликовал отчет под названием 2017 Hacker-Powered Security, отобрав данные за последние 4 года, проанализировав 50 000 найденных багов и более чем $17 миллионов гонораров, выплаченных белым хакерам.

Основные цифры данного отчета свидетельствуют о том, что среднее вознаграждение за найденный баг на сегодня составляет $1 923, что на 16% больше аналогичного показателя 2015 года ($1 624). Самое крупное вознаграждения за критическую уязвимость составило $30 000. Этот платеж был одним из серии вознаграждений аналогичного размера от одной технологической компании, пожелавшей остаться неизвестной.

«За прошедший год представители игровой индустрии, электронной коммерции и розничной торговли, медиа и сферы развлечений заплатили по $20 000 за найденные у них критические уязвимости», — отмечается в отчете. Всего за прошедшие 12 месяцев, вознаграждения от $10 000 и выше были выплачены за 88 найденных уязвимостей.

Мартен Микос (Marten Mickos), исполнительный директор компании HackerOne сказал, что программы Bug Bounty последовательно развиваются, постепенно становясь более прибыльными для исследователей. «Чем больше уязвимостей закрывает компания, тем более изощрёнными становятся потенциальные атаки на нее — и тем выше выплата за найденный баг», — говорит он.

Микос также отметил, что в прошлом году программы Bug Bounty стали более популярными и вышли за пределы только лишь высокотехнологичного сектора. Согласно данным отчета, 41% программ Bug Bounty от HackerOne, запущенных в 2016 г были из других отраслей, включая государственный сектор, медиа и развлекательной индустрий, а также сферы финансовых услуг и электронной коммерции.

Vulnerabilities By Severity

Vulnerabilities By Severity

«Отношение к белым хакерам серьезно поменялось после запуска Министерством обороны США программы Hack the Pentagon», — сказал Микос. «Это подтолкнуло компании к тому, чтобы прийти к нам и сказать: «Если вы взламываете Минобороны США, мы хотим, чтобы вы и нас попробовали взломать».

32% багов, найденных через программы на платформе HackerOne — уязвимости с высокой степенью критичности. Согласно данным последних 4-х лет стоимость критической уязвимости в транспортном секторе была наивысшей, средний размер вознаграждения составил $4 491, следом идет игровая индустрия (в среднем $3 583), а также розничная торговля и электронная коммерция (средняя выплата $3 471). Как ни странно, высокотехнологичные компании платят довольно скромно — в среднем $1 923 за критическую уязвимость. А меньше всех платят в сфере образования — всего лишь $317.

«В среднем в 2017 году время первой реакции на найденную уязвимость составило 6 дней, в сравнении с 7 днями в 2016 году. Компании сферы электронной коммерции и ритейла были самыми оперативными, в среднем они закрывали найденные уязвимости за 4 недели», — свидетельствуют данные отчета.

Во всех отраслях, за исключением сектора финансовых услуг и банковских операций, межсайтовый скриптинг стал наиболее распространенным видом уязвимости, обнаруженным исследователями, использующими платформу HackerOne. В отчете отмечается, что XSS уязвимости варьировались по степени трудности от отраженных (непостоянных) до более сложных, подобно уязвимости, исправленной Verizon в начале этого года.

Ошибки, связанные с ненадлежащей аутентификацией, чаще всего регистрировались в секторе финансовых услуг и банковских операций. Уязвимости SQL-инъекций также доминировали в списке наиболее распространенных уязвимостей, зарегистрированных на платформе HackerOne. «Программы из отрасли здравоохранения имеют наивысший процент уязвимостей SQL-инъекций (6%) по сравнению с другими отраслями в течение исследуемого периода», — говорится в отчете.

Категории: Главное, Кибероборона, Уязвимости, Хакеры