0
Peshkova, Getty Images/iStockphoto
Hackers worden betaald zo veel als $30.000 voor het vinden van een één kritische lek in een organisatie, en het bedrag dat bedrijven bereid zijn te betalen wordt steeds groter.
Terwijl het gebruik van dergelijke bug hunting programma ‘ s is nog beperkt, een aantal grote organisaties zijn het aanbieden van hackers beloningen voor het spotten van fouten in hun systemen.
Volgens de gegevens van HackerOne, een bedrijf, waarin de bug bounty ‘programma’ s voor bedrijven, de grootste uitgaven van bedrijven zijn nu betalen van bijna $900,000 een jaar aan mensen die bugs melden.
De gegevens zijn afkomstig bug bounty en kwetsbaarheid openbaarmaking van programma ‘ s die door HackerOne voor bedrijven zoals Airbnb, GitHub en het Ministerie van Defensie – in totaal boekhouding voor 50.000 beveiliging kwetsbaarheden ontdekt en meer dan $17m in premies toegekend sinds de lancering.
Het spotten van een kritieke kwetsbaarheid verdien $1,923 gemiddeld, maar het bedrijf zei dat in de afgelopen 12 maanden, 88 individuele bug gaven beloningen werden meer dan $10.000, met de hoogste beloningen in haar programma ‘ s het bereiken van 30.000 dollar. Bedrijven als Apple en Microsoft hebben ook hun eigen ‘bug bounty’ programma ‘ s, die kan gaan zo hoog als $100,000.
Ongeveer twee-derde van de bedrijven betalen ongeveer $1.000 op de gemiddelde kritieke kwetsbaarheden, hoewel een paar uitschieters betaalt $15.000 of meer. Dat is mogelijk omdat de bug bounty ‘ s te betalen lagere premies wanneer ze lanceren — gewoon omdat het gemiddelde bedrijf zal zo veel gaten in de beveiliging in te vullen.
Maar als een organisatie meer fouten, kwetsbaarheden, gebreken moeilijker te spotten en dus gaven aanleiding tot het stimuleren van hackers te zoeken: bijvoorbeeld Google gestaag toegenomen, de hoogste premie voor Chrome van $3.000 tot $100.000 in de loop van meer dan vijf jaar.
Een enquête door HackerOne vorig jaar bleek dat zeventien procent van de 600 hackers het sprak zei ze gebruikt uitsluitend op bug bounty ‘programma’ s voor hun inkomen, terwijl nog eens 26 procent zei dat de tussen 76 en 100 procent van hun inkomen vandaan bug bounty ‘programma’ s. Negen van de tien waren onder 34.
De reis-en hospitality zijn de snelste betalers, het overhandigen van het geld 18 dagen na het rapport wordt ingediend, gemiddeld, gevolgd door eten en drinken (19 dagen). Niet verwonderlijk dat de overheid, op 61 dagen, zijn de langzaamste te betalen. Bedrijven betalen ook bij verschillende fasen: ongeveer een op de vijf betalen als de kwetsbaarheid is gevalideerd, terwijl de helft zullen betalen als er een kwetsbaarheid is verholpen en de anderen op een case-by-case basis.
Bijna twee derde van de bug gaven programma ‘ s worden uitgevoerd door tech bedrijven, maar er is een toenemende belangstelling van overheid, media en entertainment, financiële dienstverlening en het bankwezen en de detailhandel. Echter, slechts ongeveer zes procent van de mensen in de top beursgenoteerde bedrijven hebben het openbaar vulnerability disclosure-beleid.
HackerOne zei dat cross-site scripting – XSS – was de meest voorkomende beveiligingsprobleem type ontdekt door hackers gebruik van haar platform. Voor de financiële dienstverlening en het bankwezen, de meest voorkomende beveiligingsprobleem werd onjuiste verificatie.
Programma ‘ s met behulp van de vaardigheden van buiten hackers bedrijven te helpen bij het oplossen van hun veiligheid kan verschillende vormen aannemen, van de basis van het hebben van een vulnerability disclosure beleid, vaak in de vorm van een “security@” e-mailadres door aan bug bounty ‘programma’ s die elke hacker kan gaan. Er zijn ook prive-bug bounty ‘ s, waarvan alleen een paar belangrijke hackers, en tijd-gebonden bug premiejager, die open zijn voor slechts een korte periode van tijd om uitgenodigd hackers.
Meer over bug premies
Een blik op de top HackerOne bug gaven van 2016
Geld is niet alles als bug gaven concurreren met de zwarte markt
0