A bug bounty programokat koordináló HackerOne biztonsági platform negyedik alkalommal tette közzé éves jelentését, amelyből kiderül, hogy idén a hekkerek kétszer annyi szoftveres biztonsági rést azonosítottak, mint egy évvel korábban. A HackerOne-on keresztül önmagában is már több mint 180 ezer sérülékenységet jelentettek, ennek nagyjából harmad részét pedig az előző év során fedezték fel. Ezt a tendenciát a riport annak tulajdonítja, hogy az üzleti szereplők egyre gyakrabban fordulnak a hekkerekhez a rendszereik biztosítására tett erőfeszítéseik során.

A jelentés szerint a világjárvány felbukkanása óta a szervezetek 36 százaléka indított be dedikált kezdeményezéseket a távmunka támogatására, a különféle eszközök erőltetett digitalizálása pedig értelemszerűen új sebezhetőségeket is generál. A vállalatok 30 százaléka az új helyzetben a támadások számának egyértelmű növekedéséről számolt be, és a hekkerek is havi szinten 28 százalékkal több szoftveres sérülékenységre bukkantak a járvány előtti szinthez képest.

A mostani kutatás feltárta, hogy a céges IT-biztonsági részlegek egyre aggasztóbbnak tartják az ilyen incidensek lehetséges következményeit, és közel kétharmad részük már úgy gondolja, hogy szervezetüknek a világjárvány ideje alatt általában is több fenyegetettséget kellene kezelnie. Ezzel párhuzamosan viszont tízből három helyen éppen hogy leépítésekre került sor a saját biztonsági csapatoknál, és minden negyedik vállalatnál az informatikai biztonságra szánt költségvetést is megkurtították március óta.

Beérik a hekkerekre épített biztonság koncepciója

Az idei összeállítás fontosabb megállapításai közé tartozik, hogy az elmúlt év során a hekkerek közel 45 millió dollárnak megfelelő jutalmat kaptak a sebezhetőségek felfedezéséért, amivel az ilyen célból kifizetett összegek nagyságrendje a 100 millió dolláros küszöböt is átlépte. Ez egyben azt jelenti, hogy a hibákra vadászó hekkerek fizetési kilátásai jelentősen meghaladják az informatikai területen átlagosan megkereshető béreket is. A HackerOne már 2019-ben több mint 50 olyan szakemberről tudott, aki éves szinten több mint 100 ezer dollárt keresett ezzel a tevékenységgel.

A HackerOne közösségéhez egyébként mára 830 ezer hibavadász csatlakozott, akik a 100 milliós összes díjazást 565 ezer sebezhetőség azonosításával szedték össze. A csúcst 7 oszágból összesen 9 informatikus érte el, több mint 1 millió dollárt keresve a HackerOne platformján keresztül. Az elmúlt év során 3650 dollár volt a kritikus besorolású sérülékenységek feltárásának átlagos díjazása, ami 8 százalékos éves emelkedésnek felel meg. A HackerOne saját praxisában a legmagasabb kifizetett díj 100 ezer dollár volt egyetlen kritikus hiba jelentéséért.

A jelentés szerint több olyan iparág is van, amelyen belül az előző évihez képest legalább 200 százalékkal emelkedett a bug bounty programok száma. Ezek között a számítástechnikai hardverek területén 250 százalékkal, a fogyasztási cikkek szegmensében 243 százalékkal, az oktatási és az egészségügyi ágazatokban pedig 200-200 százalékkal több ilyen programot indítottak.

A riport a HackerOne vezérigazgatóját is idézi, aki úgy látja, hogy a járványhelyzet eredményeként minden felhasználó valamilyen szinten hekkerré vált, amennyiben a legtöbben a status quót megkérdőjelezve, a hagyományos korlátozásokat feszegetve próbálgatják az új munkamódszereket. A jelentésből kiderül, hogy világszinten tízből három szervezet (akár tradicionális piaci szereplő) már a korábbinál sokkal nyitottabb abban a kérdésben, hogy profi hekkerektől kérjen segítséget, ők pedig érdemi eredményeket szállítanak teljesen vállalható költségek mellett.