Turkálás az etikus hackerek zsebében

A HackerOne az elmúlt évben több tízezer sérülékenység feltárásához járult hozzá. Dübörög a hibavadászat szerte a világon.
 

A hibavadász programok népszerűsége folyamatosan növekszik mind a vállalatok, intézmények, mind a biztonsági kutatók körében. Az előbbiek annak reményében indítanak ilyen jellegű kezdeményezéseket, hogy még a fekete kalapos hackerek előtt tudomásukra jutnak súlyos sérülékenységek. A biztonsági szakemberek pedig a hírnév és dicsőség megszerzése mellett egyre többet kereshetnek a biztonsági rések felkutatásával, ami egyébként mind több munkával és időráfordítással jár.

A HackerOne által közzétett adatok is azt támasztják alá, hogy a hibavadászat töretlenül fejlődik. Az elmúlt évben több mint 72 ezer sérülékenységi bejelentés érkezett a platformon keresztül, amiért az etikus hackerek összességében 11 millió dollár jutalomban részesültek. Ebből is látható, hogy nem kis üzleti potenciál rejlik a hibák feltárásában és a hibavadászat koordinálásában. 

A feltárt sebezhetőségek hat százaléka került kritikus veszélyességi kategóriába. Ezek a hibák a legveszélyesebbek, hiszen távoli károkozásokra is módot adhatnak. A jelentett sérülékenységek 39 százaléka közepes, míg a 23 százaléka alacsony veszélyességi besorolást kapott. 
Mennyi az annyi?

A HackerOne platform keretein belül az elmúlt 12 hónapban 116 olyan bejelentés érkezett, amelyek esetében a kifizetés összege egyenként is meghaladta a 10 ezer dollárt. Persze nem minden sebezhetőség ér ennyit, és az egyes iparágakon belül is nagy eltérések mutatkoznak a jutalmazási hajlandóságban. Elmondható, hogy a kritikus hibákért átlagosan 2000 dollár körüli díjra lehet számítani. A legjobban a kormányzati és a technológiai szektor fizet. 
Az elmúlt 12 hónap során a legnagyobb, egy összegben kifizetett jutalom 75.000 dollár volt, amit egy meg nem nevezett technológiai vállalat ajánlott fel a HackerOne keretein belül. Ezt egy olyan kutató kapta, aki három sérülékenységet leplezett le, és azok összeláncolásával dolgozott ki egy támadási módszert. Ha egy ilyen támadást kiberbűnözők hajtottak volna végre, akkor személyes adatok mellett banki információk is komoly veszélybe kerülhettek volna. 

Egyre nyitottabb a világ

A hibavadász programoknak a jelentős, 80 százaléka még mindig privát kategóriába tartozik, míg a többi publikus kezdeményezés. Ez utóbbi elsősorban a technológiai cégek berkein belül elerjedt. Ugyanakkor meg kell említeni, hogy a kormányzati szektor is egyre inkább ráébred a hibavadászat előnyeire. Jól példázza mindezt, hogy az elmúlt évben az amerikai hadsereg, az amerikai légierő, illetve a Pentagon is meghirdette a maga kezdeményezéseit, amelyek igencsak sikeresnek bizonyultak. 

A legtöbb biztonsági kutató az Egyesült Államokban végzi a tevékenységét, és az amerikai cégek fizetik ki a legtöbb jutalmat. Ugyanakkor e programok világszinten terjednek, amit az is jól mutat, hogy már több mint 100 országból érkeztek jelzések a HackerOne-on keresztül különféle sérülékenységekkel kapcsolatban. A legtöbb biztonsági hiba az XSS (cross-site scripting) kategóriába tartozik, míg a második helyre az adatszivárgásra módot adó biztonsági rések kerültek.