HackerOne漏洞赏金支付超2.3亿美元

admin 2022年12月22日10:59:34评论34 views字数 948阅读3分9秒阅读模式

HackerOne漏洞赏金支付超2.3亿美元

漏洞赏金平台HackerOne表示,道德黑客在2022年已发现并报告了超过6.5万个软件漏洞。

该黑客驱动的主流漏洞赏金平台既服务于私营行业,也支持政府机构等公共部门,自成立以来已支付了2.3亿美元的漏洞赏金。

截至目前,22名黑客通过HackerOne提交漏洞报告赚取了超过100万美元的赏金,而2021年时赚到这个数目的黑客只有12名。

HackerOne在其最新年度报告中指出:“道德黑客报告的漏洞类型中,通常由数字转型引入的漏洞增长最为显著,错误配置类漏洞增长了150%,不当授权类漏洞增长了45%。”

HackerOne报告称,修复总时间从35天增加到了37天。航空航天公司是修复最慢的,修复中位时间是148.3天,其次是医疗技术企业,修复中位时间为73.9天。加密货币和区块链公司的修复速度最快,只需11.6天就能修复。

报告显示:“有限的范围会挡住50%的黑客,但响应速度慢和沟通不良是最有可能妨碍黑客报告漏洞的问题。”

HackerOne的数据表明,机构和企业需要设置有效的漏洞报告渠道,因为50%的黑客会由于受影响实体缺乏漏洞披露计划而选择不披露所发现的安全漏洞。另有12%的黑客则是因威胁性法律用语而望而却步。

2022年,道德黑客凭借跨站脚本(XSS)漏洞赚到了最为丰厚的赏金,其次是不当访问控制漏洞和信息披露漏洞。不安全直接对象引用(IDOR)和不当授权位列第四和第五。

报告还指出,95%的黑客专注挖掘网站中的漏洞,24%专盯各个云平台。

HackerOne表示,漏洞赏金计划采用率总体增长45%,制药公司的增长率最高,为700%。汽车、电信、加密货币和区块链行业的漏洞赏金计划采用率也很高,分别增长了400%、156%和143%。

HackerOne《2022年黑客驱动的安全》:
https://www.hackerone.com/resources/i/1487910-6th-annual-hacker-powered-security-report-12-2022/1?


参考阅读
漏洞赏金计划的隐患
从赏金计划的诞生到职业挖漏洞
美国国土安全部对众测白帽子的要求
HackerOne一年累计支付1.07亿漏洞赏金

原文始发于微信公众号(数世咨询):HackerOne漏洞赏金支付超2.3亿美元

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年12月22日10:59:34
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   HackerOne漏洞赏金支付超2.3亿美元https://cn-sec.com/archives/1478099.html

发表评论

匿名网友 填写信息