Η HackerOne ανακοίνωσε ότι τα bug bounty προγράμματά της έχουν προσφέρει συνολικά περισσότερα από 300 εκατομμύρια δολάρια σε ethical hackers και ερευνητές αναζήτησης ευπαθειών.
Τριάντα hackers έχουν κερδίσει πάνω από ένα εκατομμύριο δολάρια για τις υποβολές τους και ένας έχει καταφέρει να λάβει πάνω από 4 εκατομμύρια δολάρια για τις αναφορές σφαλμάτων του.
Η πλατφόρμα HackerOne ιδρύθηκε πριν από μια δεκαετία και είναι μια πλατφόρμα bug bounty που συνδέει οργανισμούς και εταιρείες με ethical hackers που εντοπίζουν και αναφέρουν αδυναμίες στο λογισμικό και τα συστήματα, με αντάλλαγμα μια ανταμοιβή.
Ουσιαστικά, οι ethical hackers και οι ερευνητές ψάχνουν για κενά ασφαλείας στα συστήματα των εταιρειών, και αν βρουν κάτι, το αναφέρουν ώστε η εταιρεία να το διορθώσει προτού γίνει αντιληπτή η ευπάθεια από κακόβουλους hackers. Με αυτόν τον τρόπο, οι εταιρείες προστατεύουν τα προϊόντα και τους πελάτες τους. Ανάλογα με τις ευπάθειες που βρίσκουν, οι συμμετέχοντες στο πρόγραμμα bug bounty της HackerOne πληρώνονται ένα χρηματικό ποσό.
Δείτε επίσης: Η Google επεκτείνει το πρόγραμμα bug bounty για generative AI επιθέσεις
Φέτος, χρειάστηκαν κατά μέσο όρο 25,5 ημέρες για να ολοκληρώσουν οι οργανισμοί την αποκατάσταση των αναφερόμενων σφαλμάτων, μια βελτίωση 28% σε σχέση με πέρυσι.
HackerOne νέα στοιχεία
Η HackerOne κυκλοφόρησε το “2023 Hacker-Power Security Report“, όπου εξηγεί τις τάσεις του τρέχοντος έτους.
Η εταιρεία τόνισε ότι οι οντότητες που σχετίζονται με crypto και blockchain συνεχίζουν να απολαμβάνουν τη μεγαλύτερη προσοχή από ethical hackers, καθώς υπόσχονται υψηλότερες αμοιβές. Φέτος, η μεγαλύτερη αμοιβή που καταβλήθηκε ήταν 100.050 $ από μια εταιρεία crypto.
Η μέση τιμή για ένα σφάλμα στην πλατφόρμα είναι 500 $ φέτος και μπορεί να φτάσει τα 3.000 $.
Για κρίσιμα και υψηλής σοβαρότητας ελαττώματα, η μέση πληρωμή είναι 3.700 $ σε όλους τους κλάδους και φτάνει τα 12.000 $ στο 90ο εκατοστημόριο.
Η HackerOne λέει ότι το παραδοσιακό κυνήγι σφαλμάτων δεν είναι η μόνη δραστηριότητα στην πλατφόρμα. Τα pen-testing engagements αυξήθηκαν κατά 54% μέσα στο 2023.
Πώς επηρεάζει η τεχνητή νοημοσύνη (AI) τους ethical hackers και τη δουλειά τους;
Περισσότεροι από τους μισούς ethical hackers που συμμετέχουν στα προγράμματα bug bounty της HackerOne αναφέρουν ότι χρησιμοποιούν generative AI, για να συντάξουν καλύτερες αναφορές, να συντάξουν κώδικα και να μειώσουν πιθανά γλωσσικά εμπόδια.
Επίσης, το 61% από αυτούς αναφέρει ότι σχεδιάζει να χρησιμοποιήσει το Generative AI για την εύρεση περισσότερων σφαλμάτων, ενώ το 55% πιστεύει ότι τα ίδια τα εργαλεία AI θα γίνουν σημαντικός στόχος τα επόμενα χρόνια.
Δείτε επίσης: Microsoft: Νέο πρόγραμμα bug bounty για το AI-powered Bing
Οι κυνηγοί σφαλμάτων διχάζονται στην πρόβλεψη του εάν η τεχνητή νοημοσύνη θα οδηγήσει σε ασφαλέστερα προϊόντα λογισμικού ή σε αύξηση των αδυναμιών.
Στην έκθεση της HackerOne παρουσιάζονται, επίσης, οι λόγοι για τους οποίους συμμετέχουν οι hackers στα προγράμματα με τα bounties να παίζουν τον μεγαλύτερο ρόλο (73%) στη συμμετοχή, ακολουθούμενα από πληθώρα ελαττωμάτων (50%), ευκαιρίες για μάθηση (45%), ποικίλο εύρος (46%) και γρήγορες πληρωμές (42%).
Ωστόσο, υπάρχουν και κάποια πράγματα που τους απομακρύνουν από ένα πρόγραμμα bug bounty και αυτά περιλαμβάνουν αργούς χρόνους απόκρισης (60%), περιορισμένο εύρος (58%), κακή επικοινωνία (55%), χαμηλές αμοιβές (48%) και αρνητικές κριτικές (44%).
Προγράμματα bug bounty και κυβερνοασφάλεια
Τα προγράμματα bug bounty είναι σημαντικά για την ενίσχυση της κυβερνοασφάλειας. Καταρχάς, επιτρέπουν σε εταιρείες και οργανισμούς να εντοπίζουν και να διορθώνουν ευπάθειες πριν χρησιμοποιηθούν από κακόβουλους hackers. Αυτό μειώνει τον κίνδυνο για παραβίαση δεδομένων.
Δείτε επίσης: Google Mobile VRP: Νέο πρόγραμμα bug bounty για Android apps
Επιπλέον, οι αμοιβές προσελκύουν τους καλύτερους επαγγελματίες και ερασιτέχνες hackers στον χώρο της κυβερνοασφάλειας. Αυτό σημαίνει ότι υπάρχει μεγαλύτερη πιθανότητα να εντοπιστούν και να διορθωθούν ευπάθειες, καθώς οι επαγγελματίες έχουν τις απαραίτητες γνώσεις και δεξιότητες.
Τέλος, τα προγράμματα αυτά ενισχύουν την κουλτούρα της ασφάλειας και τη συνεργασία μεταξύ των ερευνητών ασφαλείας και των εταιρειών. Οι ερευνητές ασφαλείας έχουν τη δυνατότητα να συνεργαστούν με τις εταιρείες για να βελτιώσουν την ασφάλεια των συστημάτων και να προσφέρουν αξία στην κοινότητα.
Πηγή: www.bleepingcomputer.com
