В погоне за багами: на кого охотились и как зарабатывали белые хакеры / forpes.ru

Главная
В погоне за багами: на кого охотились и как зарабатывали белые хакеры

В погоне за багами: на кого охотились и как зарабатывали белые хакеры +4

07.02.2025 10:01

ptsecurity 0 249 Источник

В мае 2022 года мы запустили собственную платформу для поиска уязвимостей за вознаграждение — Standoff Bug Bounty. С тех пор она стала крупнейшей российской площадкой багбаунти: более 18 тысяч независимых исследователей безопасности из России и других стран сдали на ней свыше 8 тысяч отчетов. Привлекая на помощь целый легион опытных багхантеров, платформа помогает компаниям усилить защищенность ИТ-инфраструктуры. Читайте в этой статье о результатах 2,5 лет работы Standoff Bug Bounty. Объясним, почему багбаунти-платформа повышает киберустойчивость компаний, какие баги чаще всего находят специалисты ИБ, как они зарабатывают и какие выплаты получают. Расскажем также о максимальных наградах и уникальных программах на платформе.

Почему багбаунти?

За последние пять лет эксплуатация уязвимостей ПО, аппаратного обеспечения и веб-приложений входит в топ-3 самых популярных методов атак на организации. В III квартале 2024 года хакеры использовали этот подход в трети успешных атак. При этом средняя стоимость утечки, начальным вектором которой была эксплуатация уязвимости, по данным IBM, достигла в прошлом году 4,33 млн $. В таких условиях компании смогут значительно снизить вероятность успешных атак, уменьшить потенциальный материальный и репутационный ущерб, если будут своевременно выявлять и устранять уязвимости, запуская программы багбаунти.

Платформы багбаунти, такие как Standoff Bug Bounty, помогают компаниям привлекать для поиска слабых мест в их ИТ-инфраструктуре тысячи специалистов по безопасности с разными навыками и опытом. Платформа позволяет компаниям платить только за найденные и подтвержденные уязвимости, обеспечивая простое и конфиденциальное взаимодействие. Она берет на себя всю организационную работу, в том числе перевод вознаграждений, и гарантирует соблюдение принципов ответственного раскрытия информации об уязвимостях.

На платформе белые хакеры могут легально и без риска заниматься тем, что им действительно нравится — находить уязвимости в популярных сервисах — и неплохо зарабатывать. На ноябрь 2024 года багхантеры отправили на платформу 1926 принятых и уникальных отчетов, что на 43 процентных пункта (п. п.) больше, чем за весь 2023 год.

Всего багхантеры сдали 4658 отчетов.

Standoff Bug Bounty за 2,5 года существования выплатила белым хакерам более 158 млн рублей. Сумма вознаграждения может зависеть от серьезности проблемы, вероятности использования злоумышленниками, окружения и других факторов. Средняя выплата за принятый отчет в 2024 году составила почти 58 тыс. рублей — на 13% больше показателя за предыдущий год.

Благодаря широкому спектру программ багхантеры имеют возможность сосредоточиться на тех секторах, которые больше всего соответствуют их навыкам. Участвуя в багбаунти, исследователи соревнуются друг с другом, демонстрируют и совершенствуют свои скилы, укрепляют защиту цифровых услуг и делают мир вокруг безопаснее.

Кто такие охотники за багами и что ими движет

Всего за год с ноября 2023 года число зарегистрированных на платформе исследователей ИБ выросло почти в 2,5 раза — с 7537 до 18 400. Такой интерес к ней можно объяснить постоянным ростом количества программ багбаунти и их разнообразием. Кроме того, белые хакеры ценят Standoff Bug Bounty за справедливую и быструю верификацию отчетов. По результатам опроса, 58% багхантеров назвали площадку лучшей по оперативности и профессиональности триажа уязвимостей.

?? Для большинства исследователей (29% опрошенных) багхантинг — это подработка, которой они занимаются в свободное время, а для 27% — основная работа и источник стабильного заработка. Большая часть респондентов (29%) тратит на охоту за багами менее четверти рабочего времени в месяц, а у 17% исследователей она занимает все рабочее время.

Денежные выплаты — основной источник мотивации для белых хакеров: 33% опрошенных видят в этом главный плюс багхантинга. Однако часть исследователей (21%) считают ключевым преимуществом прокачку навыков и опыт.

Ответы исследователей на вопрос «Что для вас наиболее ценный плюс в багхантинге?» (доля опрошенных)

Кроме того, 75% опрошенных важным бонусом считают приглашение на приватные ивенты. Для топовых багхантеров проходят эксклюзивные мероприятия Standoff Hacks, где доступны программы с совершенно новыми приложениями и повышенными выплатами. На таком мероприятии перед Positive Hack Days в мае 2024 года белые хакеры заработали больше 4 млн рублей, а самый результативный из них получил 960 тысяч. За все время работы платформы уже три белых хакера заработали больше 11 млн рублей каждый. В 2024 году 16 багхантеров получили больше одного миллиона рублей, из них трое — свыше 7 миллионов.

Минцифры, Т-Банк и VK. Где еще идет охота?

В прошлом году пользователи могли искать баги, например, в рамках программ Минцифры, компаний Rambler&Co, VK, Wildberries и Т-Банк. Сейчас исследователям доступно 84 программы из различных отраслей экономики. Больше всего багбаунти относится к секторам онлайн-сервисов, медиа и развлечений, а также торговли и электронной коммерции. Сами багхантеры называют любимыми сферу финансов (21% опрошенных) и потребительский сектор (магазины, доставки и маркетплейсы) (21%).

На торговлю и электронную коммерцию приходится только 12% программ, но именно они приняли наибольшее количество (26%) всех принятых отчетов за 2024 год, что на 4 п. п. больше этого показателя за предыдущий год. Это связано с появлением в конце 2023 года на платформе программ крупных маркетплейсов — Ozon и Wildberries. Программа Ozon — лидер по отчетам среди публичных программ платформы за 2024 год, а Wildberries приняла больше всего (600) отчетов об уязвимостях за все время. Компания Ozon выплатила исследователям в общей сложности более 5,5 млн рублей, а Wildberries — свыше 5,7 млн рублей.

Доля отраслей по количеству принятых отчетов

Выросло и число найденных уязвимостей в госсекторе: в 2024 году его доля составила 12% всех отчетов, почти в два раза превысив показатель предыдущего года. В 2023 году Минцифры запустило второй этап багбаунти, расширив программу на все ресурсы и системы электронного правительства. В 2024 году для белых хакеров на платформе были также доступны цифровые сервисы регионов России. Например, российские багхантеры могли исследовать Региональную облачную платформу Свердловской области и получить за критически опасную уязвимость до 30 тысяч рублей.

Основная добыча

Уязвимости высокого и критического уровня опасности интересуют компании в первую очередь. Высока вероятность того, что злоумышленники будут использовать именно эти баги в своих атаках, и их нужно исправлять прежде всего.

За 2024 год почти треть (31%) всех найденных на Standoff Bug Bounty уязвимостей относились к данным категориям, что более чем в два раза превышает аналогичный показатель площадки HackerOne (15%). Доля отчетов о критически опасных багах выросла до 12%, а доля уязвимостей высокого уровня опасности осталась на уровне 19%. Основная масса отчетов касается уязвимостей среднего и низкого уровня опасности, так как найти их проще, но и ценятся они меньше.

Больше всего отчетов об уязвимостях высокого уровня (30%) багхантеры сдавали разработчикам ПО. Программы госсектора приняли наибольшую долю отчетов о критически опасных уязвимостях: они были почти в каждом пятом отчете (19%). Госучреждения часто используют устаревшие системы и инфраструктуры, которые труднее защитить и модернизировать, поэтому в этом секторе белым хакерам проще найти самые опасные баги. Аналогичную тенденцию отмечает и HackerOne.

Уровень опасности найденных уязвимостей по CVSS по годам (доля принятых отчетов)

Самыми актуальными за все время работы платформы стали уязвимости, связанные с недостатками контроля доступа (42%). К этому классу относится почти половина (49%) среди уязвимостей высокого и критического уровня опасности. Такие баги могут привести к несанкционированному доступу к данным или приложениям, а также позволяют выполнить в системе те действия, которые не может совершить обычный пользователь.

? Лидерами по числу уязвимостей, связанных с нарушением контроля доступа, стали секторы торговли и электронной коммерции (49%) и финансовые сервисы (48%). Среди всех уязвимостей высокого и критического уровня опасности, найденных в финансовых сервисах, 67% были вызваны именно нарушением контроля доступа. Эти сервисы часто имеют сложные уровни доступа, что усложняет управление ими. Кроме того, финансовые и торговые сервисы обычно используют постоянно обновляемые системы. Недостаточный контроль доступа в таких системах может привести к утечкам конфиденциальных данных и финансовым потерям.

? На втором месте — уязвимости, связанные с внедрением кода в запросы пользователя (22%). К этому классу относились 19% всех уязвимостей высокого и критического уровня опасности. Данные баги позволяют внедрять вредоносный код в запросы к серверу и выполнять его; таким образом злоумышленники могут украсть конфиденциальные данные, атаковать пользователей и даже перехватить контроль над сервером. Больше всего (33%) уязвимостей, связанных с внедрением кода, обнаружено в госсекторе.

? Третье место (9%) занимают уязвимости, вызванные небезопасным проектированием. Среди критически и высоко опасных уязвимостей их 7%. Это архитектурные и логические ошибки, допущенные на этапах планирования и разработки: отсутствие достаточных механизмов защиты, проверок авторизации и аутентификации, контроля доступа. Устранить эти баги довольно сложно, так как их исправление часто требует пересмотра архитектуры системы.

Главный трофей — mission impossible?

Максимальные выплаты багхантерам могут сильно различаться. Это зависит от бюджета программы, ее зрелости и опыта компании в багбаунти. В 2024 году самая крупная выплата достигла 3,96 млн рублей — на 39% больше максимальной суммы за 2023 год.

??? Наибольшее вознаграждение можно получить в особых программах Innostage (до 10 млн рублей) и Positive dream hunting (60 млн), реализовав недопустимое для компаний событие[1]: хищение денег или внедрение кода. В конце 2024 года в подобном формате была запущена и программа Rambler&Co, в рамках которой за реализацию неприемлемого события багхантеры могут получить 3 млн рублей.

Недопустимое событие — явление, возникающее в результате действий злоумышленников и делающее невозможным достижение операционных и стратегических целей или приводящее к длительному нарушению основной деятельности компании.

Innostage приняла один отчет и выплатила багхантеру за промежуточный результат 100 тыс. рублей. Однако других достижений в формате охоты на недопустимые события пока нет. Багбаунти с максимальными суммами наград на платформе еще ждут своих героев.

Остальные программы на Standoff Bug Bounty работают в классическом формате поиска уязвимостей. Самое большое вознаграждение предлагают багбаунти-программы компании VK: ВКонтакте, Почта, Облако и Календарь Mail.ru, RuStore. За уязвимости, позволяющие удаленно выполнить код, исследователи могут заработать до 3,6 млн рублей.

В 2024 году компании, разрабатывающие онлайн-сервисы, выплатили белым хакерам больше, чем организации других отраслей: на них приходится 37% всех вознаграждений. В этой же сфере исследователи получили наибольшие средние выплаты — больше 104 тысяч рублей за один отчет, а десятая часть вознаграждений здесь составляла свыше 157 тысяч рублей.

Доля каждой отрасли по общей сумме выплаченных вознаграждений в 2024 году

Стабильно щедрые вознаграждения в 2024 году платили и по программам финансовых сервисов. За каждый десятый принятый отчет выплата составила не менее 190 100 рублей, а за половину всех отчетов багхантеры получали более 20 тысяч рублей.