Поделиться
Positive Technologies: в 2024 г. на платформе Standoff Bug Bounty доля отчетов о наиболее опасных уязвимостях в два раза превысила показатель мировых платформ
Эксперты подвели итоги работы платформы Standoff Bug Bounty за 2024 г. Отечественная багбаунти-площадка, запущенная компанией Positive Technologies в мае 2022 г., продолжает помогать организациям в России укреплять кибербезопасность. К концу 2024 г. количество зарегистрированных на платформе исследователей достигло 18,4 тыс., увеличившись по сравнению с уровнем 2023 г. более чем в два раза. Об этом CNews сообщили представители Positive Technologies.
За 2024 г. на платформе было принято 1926 отчетов об уязвимостях — это на 43% больше, чем за 2023 г. Всего багхантеры сдали 4658 отчетов. Общая сумма вознаграждений, выплаченных исследователям с момента запуска Standoff Bug Bounty, достигла 158 млн руб. При этом средняя выплата за принятый отчет выросла на 13%, составив 58 тыс. руб.
Государственный сектор стал рекордсменом по числу отчетов о критически опасных уязвимостях — 19% от общего числа отчетов в этой отрасли. В финансовой сфере среди всех найденных уязвимостей высокого и критического уровня опасности более двух третей вызваны нарушением контроля доступа, что связано с высокой сложностью систем и многоуровневыми механизмами управления привилегиями.
В 2024 г. доля отчетов об уязвимостях высокого и критического уровня опасности составила 31% от общего числа, что более чем в два раза превышает средние показатели конкурирующих платформ, таких как HackerOne (15%).
«Доля отчетов о критически опасных уязвимостях увеличилась до 12%, — отметил Анатолий Иванов, руководитель Standoff Bug Bounty. — Это свидетельствует о профессионализме пользователей платформы и эффективности работы Standoff Bug Bounty. Увеличение объема выплат, особенно за высокоопасные уязвимости, мотивирует исследователей сотрудничать, что в итоге помогает сделать цифровую инфраструктуру компаний более защищенной. Наша платформа продолжает служить мостом между бизнесом и сообществом белых хакеров, предлагая уникальные возможности для защиты ИТ-инфраструктуры и развития кибербезопасности на глобальном уровне».
Наиболее часто исследователи обнаруживали уязвимости, связанные с недостатками контроля доступа (42%). К ним относится почти половина уязвимостей высокого и критического уровня опасности. В основном такие ошибки находили в программах компаний электронной коммерции, финансовых и онлайн-сервисов. На втором месте оказались уязвимости, связанные с внедрением вредоносного кода (22%), за ними следуют архитектурные и логические ошибки (9%).
Компании, предоставляющие (или разрабатывающие) онлайн-сервисы, выплатили белым хакерам больше, чем организации других отраслей: суммарно на них приходится более трети (37%) вознаграждений. В этой же сфере исследователи получали наибольшие средние выплаты — более 104 тыс. руб. за один отчет, а десятая часть вознаграждений в отрасли составляла более 157 тыс. руб.
Стабильно щедрые вознаграждения назначали в рамках программ финансовых сервисов. За каждый десятый принятый отчет выплата составила 190,1 тыс. руб. или больше. За половину всех принятых отчетов исследователи получали выплаты более 20 тыс. руб.
Максимальная выплата за одну найденную уязвимость в 2024 г. была сделана VK и составила рекордные 3,96 млн руб., что на 39% больше, чем в 2023 г. 16 багхантерам за этот год удалось заработать более 1 млн руб., из которых трем исследователям — более 7 млн.
В 2024 г. на Standoff Bug Bounty было доступно 84 программы компаний из различных отраслей. Наибольшее количество отчетов (26%) поступило от исследователей, изучавших инфраструктуру организаций из сектора торговли и электронной коммерции. Лидирующие позиции здесь заняли маркетплейсы Wildberries (принято более 600 отчетов, общая сумма вознаграждений составила 5,7 млн руб.) и Ozon (принято не менее 300 отчетов, а выплаты исследователям превысили 5,5 млн руб).
Кроме того, высокий уровень активности наблюдался в программах онлайн-сервисов, финансового сектора, сферы медиа и развлечений, а также госучреждений.
Поделиться
Короткая ссылка
