0
Peshkova, Getty Images/iStockphoto
Gli hacker sono pagate tanto quanto $30.000 per trovare un unico difetto fondamentale in una società sistemi, e l’importo che le aziende sono disposte a pagare è in aumento.
Mentre l’uso di tali bug caccia programmi è ancora limitata, alcuni grandi organizzazioni stanno offrendo hacker ricompense per individuare i difetti nei loro sistemi.
Secondo i dati HackerOne, una società che stabilisce bug bounty programmi per le imprese, la più grande spesa aziende ora stanno pagando quasi $900,000 un anno a chi segnalare i bug.
I dati provengono da bug bounty e di divulgazione delle vulnerabilità programmi condotti da HackerOne per aziende come Airbnb, GitHub e il Dipartimento della Difesa per un totale di contabilità per 50.000 vulnerabilità di sicurezza individuato e più di $17 milioni in premi assegnati dal lancio del prodotto.
Individuazione di una vulnerabilità critica guadagnare $1,923 in media, ma la società ha detto che negli ultimi 12 mesi, 88 singoli bug taglie premi erano più di $10.000 ciascuno, con le prime ricompense, nei suoi programmi, raggiungendo il livello di $30,000. Aziende come Apple e Microsoft hanno la loro bug bounty programmi, che può andare come alto come $100,000.
Circa i due terzi delle aziende di pagare circa $1.000 in media per le vulnerabilità critiche, anche se un paio di outlier pagherà $15.000 o più. Questo è probabilmente a causa di bug bounty programmi di pagare meno di taglie al momento del lancio, semplicemente perché la società medio avrà così tanti buchi nella sicurezza di riempimento.
Ma come organizzazione correzioni di maggiore vulnerabilità, i difetti diventano più difficili da individuare e quindi di taglie aumento di incoraggiare gli hacker di continuare a cercare: per esempio, Google ha costantemente aumentato il suo top di taglie per Chrome da $3.000 a $100.000 nel corso di più di cinque anni.
Da un sondaggio HackerOne l’anno scorso ha trovato che il diciassette per cento dei 600 hacker che ha parlato ha detto che hanno fatto affidamento esclusivamente sul bug bounty programmi per il loro reddito, mentre un altro 26 per cento ha detto che tra il 76% e il 100 per cento dei loro redditi provengono da bug bounty programmi. Nove su dieci sono stati sotto i 34 anni.
Di viaggio e di ospitalità sono il mezzo più rapido, i contribuenti, di consegnare il denaro 18 giorni dopo la presentazione della relazione, in media, seguita da alimenti e bevande (19 giorni). Non sorprende che le agenzie governative, a 61 giorni, sono il più lento a pagare. Aziende di pagare anche fino a diversi stadi: uno su cinque pagare quando la vulnerabilità è convalidato, mentre la metà di pagare quando una vulnerabilità è fisso e l’altro, su un caso per caso.
Quasi due terzi dei bug bounty programmi sono gestiti da aziende di tecnologia, ma c’è un crescente interesse da parte delle agenzie governative, dei media e dell’intrattenimento, servizi finanziari e bancari e di vendita al dettaglio. Tuttavia, solo circa il sei per cento della cima di società quotate in borsa hanno pubblico di divulgazione delle vulnerabilità politiche.
HackerOne ha detto che il cross-site scripting XSS – era più comuni tipi di vulnerabilità scoperta da hacker di utilizzare la sua piattaforma. Per i servizi finanziari e bancari, i più comuni vulnerabilità è stata improprio di autenticazione.
Programmi utilizzando le competenze di fuori hacker per aiutare le aziende a risolvere la loro sicurezza può prendere un certo numero di forme, dalle nozioni di base di avere una vulnerabilità della politica di comunicazione, che spesso assume la forma di una “security@” indirizzo email, attraverso il bug bounty programmi che qualsiasi hacker può avere un andare a. Ci sono anche privato bug bounty programmi, che sono aperti solo per alcuni hacker, e con una scadenza bug di taglie, che sono aperti solo per un breve periodo di tempo per invitato gli hacker solo.
Di più su bug bounty
Uno sguardo al top HackerOne bug doni del 2016
Denaro non è tutto, quando il bug bounty competere con il mercato nero
0