0
Peshkova, Getty Images/iStockphoto
Hackere bliver betalt så meget som $30.000 for at finde en enkelt kritisk fejl i en virksomheds systemer, og det beløb, virksomhederne er villige til at betale, er stigende.
Mens brugen af sådanne fejl jagt programmer er stadig begrænset, nogle af de store organisationer tilbyder hackere belønninger for at spotte fejl i deres systemer.
Ifølge data fra HackerOne, et selskab, som opstiller bug bounty programmer for virksomheder, de største udgifter selskaber betaler nu næsten $900,000 et år at personer, der rapporterer fejl.
De data, der kommer fra bug bounty og sårbarhed offentliggørelse programmer til at køre ved HackerOne for virksomheder som Airbnb, GitHub og Department of Defense – i det samlede regnskab for 50.000 sikkerhedshuller bliver opdaget og mere end $17m i dusører tildelt, da det blev lanceret.
At spotte en kritisk sårbarhed vil tjene$, 1,923 i gennemsnit, men selskabet sagde, at i de seneste 12 måneder, 88 individuelle fejl dusører belønninger var over $10.000 hver, med de bedste belønninger i sine programmer nå $30,000. Firmaer som Apple og Microsoft har også deres egen bug bounty ” – programmer, som kan gå så højt som $100,000.
Omkring to tredjedele af virksomheder betaler omkring $1.000 i gennemsnit for kritiske sårbarheder, selv om et par outliers vil betale $15.000 eller mere. Det er muligvis fordi bug bounty-programmer betaler lavere dusører, når de lancerer-bare fordi den gennemsnitlige virksomhed vil have så mange huller i sin sikkerhed til at udfylde.
Men som en organisation, der løser flere svagheder, fejl og mangler bliver sværere at få øje på, og så giver anledning til at tilskynde hackere til at holde udkig, for eksempel, Google har støt øget sin top dusør til Chrome fra $3.000 til $100,000 i løbet af mere end fem år.
En undersøgelse af HackerOne sidste år fandt ud af, at sytten procent af de 600 hackere, der talte med, sagde, at de påberåbte udelukkende på bug bounty-programmer til deres indkomst, mens 26 procent siger, at mellem 76% og 100% af deres indtægter kommer fra bug bounty-programmer. Ni ud af ti var under 34.
Rejser og gæstfrihed er den hurtigste betalere, overdrage penge 18 dage efter rapporten er sendt i gennemsnit fulgt af mad og drikkevarer (19 dage). Ikke overraskende offentlige institutioner, på 61 dage, er den langsomste til at betale. Virksomheder betaler også op i forskellige faser: omkring en ud af fem betale, når sårbarheden er valideret, mens halvdelen vil betale, når en sårbarhed er rettet, og andre på en case-by-case basis.
Næsten to tredjedele af fejl dusører programmer drives af tech-virksomheder, men der er stigende interesse fra offentlige myndigheder, medier og underholdning, finansielle tjenesteydelser og bank-og detailhandel. Det er dog kun omkring seks procent af den top-børsnoterede virksomheder har offentlige sårbarhed offentliggørelse politikker.
HackerOne sagde, at cross-site scripting – XSS – var den mest almindelige type sårbarhed blev opdaget af hackere, der bruger sin platform. For finansielle tjenesteydelser og bank, er den mest almindelige svaghed var forkert godkendelse.
Programmer, der bruger de færdigheder, uden hackere til at hjælpe virksomheder med at løse deres sikkerhed kan tage en række former, lige fra det grundlæggende i at have en svaghed offentliggørelse politik, som ofte tager form af en “security@” e-mail-adresse, gennem bug bounty-programmer, som enhver hacker kan have en gå på. Der er også private bug bounty-programmer, som kun er åbne for et par vigtige hackere, og tidsbundne fejl dusører, som er åbne for en kort periode af tid til at inviteret kun hackere.
Mere om fejl dusører
Et kig på top HackerOne fejl dusører af 2016
Penge er ikke alt, når bug dusører konkurrere med den sorte marked
0