Tíz cég mintegy 23 millió dollárt fizetett ki a HackerOne-on keresztül az ott meghirdetett hibavadász programjaikban részt vevő fehér kalapos hekkereknek. A bug bounty programokat koordináló platform a közelmúltban tette közzé azoknak a cégek a toplistáját, melyek jól aknázzák ki a HackerOne nyújtotta lehetőségeket.

A listából kiderül, hogy elsősorban online szolgáltató és telekommunikációs cégek éreztek rá a szolgáltatás előnyeire. Az április végén zárt lista szerint az idei sorrend az alábbiak szerint alakult: Verizon Media, PayPal, Uber, Intel, Twitter, GitLab, Mail.ru, GitHub, Valve, Airbnb.

Ez az a tíz cég, amely sokat fizet, gyorsan reagál, és viszonylag jól kezeli a beküldött biztonsági réseket. A lista alapja egyébként az, hogy csatlakozásuk óta mennyi jutalmat fizettek ki április végéig.

A Verizont nehéz lesz megfogni

A mezőnyt toronymagasan vezeti a Verizon. A telekommunikációs és médiacég 2014 februárjában csatlakozott a platformhoz, és azóta több mint 9,4 millió dollár jutalmat fizetett ki. A legnagyobb összeg, amit egyetlen sérülékenységért megítéltek, 70 ezer dollár volt. A HackerOne figyeli a cégek reakcióidejét: a Verizon átlagosan 8 órán belül reagál a hibabejelentésekre, és 13 napon belül fizet is, ha a hekker elsőként jelentett egy valós biztonsági rést. Érdekes egyébként, hogy a Verizon az összes jutalom jelentős részét az utóbbi egy évben fizette ki: tavaly ugyan szintén felkerült a tízes listára, de akkor még csak mindösszesen 1,8 millió dollárral.

A PayPal is javított, tavaly harmadik volt, idén viszont már a második legjobb. Az online fizetési platform viszont mindössze két éve, 2018 augusztusában indította el első hibavadász-programját a HackerOne-on. Azóta összesen 2,8 millió dollár jutalmat fizetett. A bejelentésekre gyorsan, 4 órán belül reagál, viszont a sikeres vadásznak átlagosan 17 napot kell várni a jutalomra. A legtöbb, amit egy biztonsági résért fizetett, 30 ezer dollár volt.

A harmadik helyre került Uber (tavaly második volt) már hat éve használja a platformot, de csak 2,4 millió dollár jutalmat fizetett ki ez idő alatt. A legmagasabb jutalma 50 ezer dollár volt. Az viszont valószínűleg kevésbé teszi népszerűvé a fehér kalaposok körében, hogy bár gyorsan reagál a bejelentésre, átlagosan három hónap után fizet. Ezzel a mezőnyben ki is érdemelte a leglassabban fizető cég címet.

Az Intel 2017 márciusa óta használja a platformot, azóta 1,9 millió dollárt fizetett ki jutalomként, de más adatokat nem adott róla az összesítő. Egy megjegyzés azonban jelzi, hogy érdemes az Intel termékeiben hibák után kutatni: konkrétum nélkül azt írják, hogy a csipgyártó fizette ki a legmagasabb jutalmat egy hibáért.

Pár óra alatt veszik az adást

Az teljesen általános, hogy a HackerOne platformján hibavadász-programot hirdető cégek gyorsan reagálnak a hibabejelentésekre. Ez persze nem jelenti azt, hogy a javításban is ilyen gyorsak, hiszen itt csak regisztrálják magát a bejelentést, ami elindul a cégek belső labirintusában a maga útján. Megnézik, hogy nem egy már ismert biztonsági rést jelentettek-e be, illetve hogy a valóban létezik-e a bug.

A leggyorsabb reakcióidőt a GitLab produkálja: átlagosan 1 órán belül veszi a hibabejelentést – ellenben 19 napra fizet. A leglassabb a GitHub 15 órás átlagos reakcióidővel, ellenben kevesebb mint kéthetes fizetési határidővel. Gyors reagálásban a Twitter sem túl erős: az átlaga 12 óra. Ezt ellensúlyozandó viszont szélsebesen fizet: a hekker átlagosan nyolc napon belül kapja meg jutalmát.

A toplistán egyetlen nem amerikai szereplő van, a Mail.ru. Az orosz oldal 2014-ben csatlakozott a HackerOne-hoz, és azóta 1,1 millió dollár jutalmat fizetett ki. A legmagasabb általa fizetett jutalom 20 ezer dollár volt. A Mail.ru-nak egyébként jó a reakcióideje (5 óra), és a fizetési tempója is átlagos (17 nap).