Sok tízmillió dollár jutalmat fizettek ki 2012-es alapítása óta a HackerOne hibavadász platformon keresztül sérülékenységeket feltáró biztonsági kutatóknak. A platform idén közzétette, hogy mi volt az a tíz sérülékenységtípus, amivel tavaly a legjobban lehetett keresni.

A kritikus hibákra jutott a jutalom harmada

A kifizetett jutalom megoszlása teljesen logikusan alakult: minél súlyosabb egy feltárt sérülékenység, annál többet ér. A platform szerepét mi sem mutatja jobban, mint hogy csak tavaly 120 ezer sérülékenységet jelentettek be rajta keresztül. Ennek azonban mindössze 7,2 százaléka volt kritikus, ennek ellenére ezekre a sérülékenységre fizették ki a jutalomkeret több mint 30 százalékát (lásd az első grafikont).

Az viszont érdekes, hogy nem az alacsony veszélyességűnek besorolt hibákból volt a legtöbb, hanem a közepesből, utóbbi adta az összes hiba 40 százalékát, és erre a kategóriára ment a jutalom 26,6 százaléka.

A sérülékenységtípusokat tekintve tavaly minden szempontból az úgynevezett Cross-site Scripting (XSS) támadásokra lehetőséget adók vitték a prímet: ezek adták a bejelentett (és befogadott) hibák közel 35 százalékát, és elvitték az összes jutalom 28 százalékát.

A második helyre az adatszivárgást lehetővé tevő hibák kerültek 24 százalékot meghaladó részaránnyal, és ezzel elvitték a kiosztott jutalom 13,4 százalékát. Néhány százalékkal maradtak csak le a nem megfelelő felhasználói hitelesítéssel kapcsolatos sérülékenységek: az összes bejelentett hiba 22 százaléka ilyen volt, és az összes jutalom 15 százalékát fizették ki ezekért.

Az összes többi jelentett sérülékenység aránya nem érte el az 5 százalékot, egyet azonban mégis érdemes kiemelni közülük: azokat a sérülékenységtípusokat, melyek a jogosultsági szint megemelését teszik lehetővé. Ezek tették ki az összes jelentett sérülékenység 3,7 százalékát, azonban az ezeket feltáró szakemberek az összes kiosztott jutalom 9,5 százalékát kapták meg.

Az iparág sem számít

A HackerOne összesítésében azt is meg lehet nézni, hogy iparáganként hogyan alakul a feltárt sérülékenységek aránya. Bár vannak apróbb eltérések, az szinte általános, hogy a három leggyakoribb sérülékenységtípus minden iparágban vezet, ha a sorrendjük eltérő is. Úgy tűnik, a digitalizáció jelenlegi szintjén már kezdenek eltűnni az IT-kockázatokban is a különbségek.

A tíz leggyakoribb sérülékenységtípust a fenti kördiagramban foglaltuk össze.