Бесплатно Экспресс-аудит сайта:

24.09.2020

Хакеры стали больше зарабатывать за участие в программах bug bounty

Плата исследователям безопасности за поиск уязвимостей в программном обеспечении или сервисах становится все более распространенным явлением. Программы «bug bounty» позволяют специалистам получать деньги за обнаружение проблем, в то время как организации получают выгоду от возможности усилить свою безопасность.

Американская компания HackerOne, запускающая программы вознаграждения за обнаружение уязвимостей для организаций, включая Министерство обороны США и Google, опубликовала новые данные о количестве уязвимостей, обнаруженных хакерами, и о суммах вознаграждений. На сегодняшний день зарегистрировано более 181 тыс. уязвимостей, а участникам программ выплачено в общей сложности более $100 млн.

За последний год исследователям безопасности по всему миру было присуждено вознаграждение на сумму более $44,75 млн, что на 86% больше, чем в прошлом году. Средняя сумма вознаграждения за обнаружение критических уязвимостей увеличилась до $3650, что на 8% больше, чем в прошлом году, тогда как средняя сумма, выплачиваемая за уязвимость, составляет $979. Сообщения о критических уязвимостях составляют около 8% всех отчетов, а отчеты об опасных проблемах — 21%.

Как сообщили эксперты, «участие в программах вознаграждения за обнаружение уязвимостей остается постоянным и стабильным источником дохода» для некоторых зарегистрированных специалистов. Каждый пятый участник признал, что поиск уязвимостей — единственный источник дохода.

Пандемия коронавирусной инфекции (COVID-19) привела к всплеску злонамеренных атак на организации, но она также вызвала увеличение числа хакеров, стремящихся помочь найти и исправить уязвимости. Таким образом, количество регистраций новых участников программ bug bounty увеличилось на 59% за несколько месяцев после начала пандемии, а количество сообщений об обнаруженных уязвимостях увеличилось на 28%.