Chương trình HackerOne Bug Bounty đã chi trả 11 triệu USD trong năm 2017

Chương trình HackerOne Bug Bounty đã chi trả 11 triệu USD trong năm 2017

July 16, 2018 | vietsunshine

Theo Hacker-Powered Security Report 2018 của HackerOne, các hacker mũ trắng, những người đã “tiết lộ một cách có trách nhiệm” các lỗ hổng bảo mật thông qua chương trình bug bounty của HackerOne đã kiếm được 11 triệu USD trong năm ngoái.

HackerOne đã tổ chức khoảng 1000 chương trình trong năm qua và nhận được hơn 72000 báo cáo về lỗ hổng từ các nhà nghiên cứu tại hơn 100 quốc gia. Các khoản tiền thưởng được thanh toán kể từ khi công ty ra mắt cho đến tháng 6 năm 2018 đạt hơn 31 triệu đô la.

Trong tổng số tiền, có hơn 25 triệu USD đã được các tổ chức ở Mỹ chi trả, cũng là quốc gia có nhận tiền được cao nhất với 5,3 triệu đô.

Theo công ty, 116 báo cáo lỗi được gửi vào năm ngoái có số tiền thưởng cao hơn 10.000 đô la, số tiền trung bình mà các công ty thanh toàn cho các vấn đề nghiêm trọng đã tăng lên hơn 2.000 đô la, Microsoft và Intel đã trao thưởng lên tới 250.000 đô la.

HackerOne report_2018

Số lượng các công ty tham gia vào chương trình công khai ngày càng tăng, nhưng có gần 80% vẫn ở chế độ private. Phần lớn các chương trình public được đưa ra bởi các tổ chức trong lĩnh vực công nghệ, chiếm 63%.

Khu vực chính phủ ghi nhận sự gia tăng lớn nhất, với các chương trình của Ủy ban châu Âu và bộ quốc phòng Singapore. Chính phủ Hoa Kỳ cũng đã tiếp tục điều hành các chương trình, bao gồm Hack the Air ForceHack the Army.

Khoảng 27.000 lỗ hổng hợp lệ đã được báo cáo năm ngoái và cross-site scripting (XSS) vẫn là loại lỗ hổng phổ biến nhất, tiếp theo là các lỗi tiết lộ thông tin.

Xét về thời gian để các tổ chức vá lỗ hổng, ngành công nghiệp hàng tiêu dùng nhanh nhất với trung bình 14 ngày, chậm nhất là khu vực chính phủ với thời gian 68 ngày.

Số tiền thưởng cao nhất được trả trong năm ngoái là 75.000 đô la, một công ty công nghệ đã trao số tiền này cho người phát hiện ra ba lỗ hổng có thể thực thi mã từ xa mà không cần sự tương tác của người dùng. Khai thác thành công có thể cho phép kẻ tấn công truy cập thông tin thẻ tín dụng, tài khoản người dùng, nhân viên, truy nhập vào cơ sở mã hạ tầng, triển khai các chiến dịch ransomware hàng loạt.

Xem báo cáo bảo mật Hacker-Powered của HackerOne tại đây

Tags: ,