Итоги Standoff Bug Bounty 2024.
В Positive Technologies Для просмотра ссылки Войдиили Зарегистрируйся работы платформы Standoff Bug Bounty за 2024 год. По данным платформы, к концу года число зарегистрированных исследователей достигло 18 400, что более чем вдвое превышает показатель 2023 года.
В течение 2024 года на платформу было подано 1926 отчетов об уязвимостях, что на 43% больше, чем годом ранее. Всего за время работы Standoff Bug Bounty исследователи сдали 4658 отчетов, а общая сумма выплат достигла 158 миллионов рублей. Средний размер вознаграждения за принятый отчет вырос на 13%, составив 58 тысяч рублей.
Государственный сектор оказался лидером по числу критически опасных уязвимостей, на которые пришлось 19% от общего числа отчетов в этой отрасли. В финансовой сфере более двух третей уязвимостей высокого и критического уровня были связаны с нарушением контроля доступа, что обусловлено сложностью систем и многоуровневостью управления привилегиями.
Отчеты об уязвимостях высокого и критического уровня составили 31% от общего числа, что более чем вдвое превышает аналогичный показатель конкурирующих платформ, таких как HackerOne (15%). Руководитель платформы Анатолий Иванов отметил, что увеличение доли критически опасных уязвимостей подтверждает профессионализм исследователей и эффективность работы платформы. По его словам, увеличение выплат за такие уязвимости стимулирует сотрудничество, способствуя защите цифровой инфраструктуры компаний.
Наиболее распространёнными уязвимостями в 2024 году стали недостатки контроля доступа, составляя 42% от общего числа, из которых почти половина относилась к уязвимостям высокого и критического уровня. Эти проблемы чаще всего выявлялись в системах компаний электронной коммерции, финансовых учреждений и онлайн-сервисов. Второе место заняли уязвимости, связанные с внедрением вредоносного кода (22%), за которыми следовали архитектурные и логические ошибки (9%).
Компании, предоставляющие онлайн-сервисы, выплатили исследователям наибольшие суммы, суммарно составляя 37% всех вознаграждений. В этой отрасли средняя выплата за один отчет превысила 104 тысячи рублей, а за каждый десятый отчет выплата составила более 157 тысяч рублей.
Особенно щедрыми оказались программы финансовых сервисов, где за каждый десятый принятый отчет выплата достигала 190 100 рублей и более. За половину всех принятых отчетов вознаграждение превышало 20 тысяч рублей.
Максимальная выплата за одну найденную уязвимость в 2024 году составила 3,96 миллиона рублей и была произведена компанией VK, что на 39% больше аналогичного рекорда предыдущего года. За год 16 исследователей заработали на платформе более 1 миллиона рублей, а трое из них — свыше 7 миллионов.
На платформе было представлено 84 программы компаний из различных отраслей. Наибольшее число отчетов (26%) поступило от исследователей, изучавших инфраструктуру организаций сектора торговли и электронной коммерции. Среди лидеров оказались маркетплейсы Wildberries и Ozon, которые приняли более 600 и 300 отчетов соответственно, выплачивая исследователям 5,7 и 5,5 миллиона рублей.
Активность также наблюдалась в программах онлайн-сервисов, финансового сектора, медиа и развлечений, а также государственных учреждений.
В Positive Technologies Для просмотра ссылки Войди
В течение 2024 года на платформу было подано 1926 отчетов об уязвимостях, что на 43% больше, чем годом ранее. Всего за время работы Standoff Bug Bounty исследователи сдали 4658 отчетов, а общая сумма выплат достигла 158 миллионов рублей. Средний размер вознаграждения за принятый отчет вырос на 13%, составив 58 тысяч рублей.
Государственный сектор оказался лидером по числу критически опасных уязвимостей, на которые пришлось 19% от общего числа отчетов в этой отрасли. В финансовой сфере более двух третей уязвимостей высокого и критического уровня были связаны с нарушением контроля доступа, что обусловлено сложностью систем и многоуровневостью управления привилегиями.
Отчеты об уязвимостях высокого и критического уровня составили 31% от общего числа, что более чем вдвое превышает аналогичный показатель конкурирующих платформ, таких как HackerOne (15%). Руководитель платформы Анатолий Иванов отметил, что увеличение доли критически опасных уязвимостей подтверждает профессионализм исследователей и эффективность работы платформы. По его словам, увеличение выплат за такие уязвимости стимулирует сотрудничество, способствуя защите цифровой инфраструктуры компаний.
Наиболее распространёнными уязвимостями в 2024 году стали недостатки контроля доступа, составляя 42% от общего числа, из которых почти половина относилась к уязвимостям высокого и критического уровня. Эти проблемы чаще всего выявлялись в системах компаний электронной коммерции, финансовых учреждений и онлайн-сервисов. Второе место заняли уязвимости, связанные с внедрением вредоносного кода (22%), за которыми следовали архитектурные и логические ошибки (9%).
Компании, предоставляющие онлайн-сервисы, выплатили исследователям наибольшие суммы, суммарно составляя 37% всех вознаграждений. В этой отрасли средняя выплата за один отчет превысила 104 тысячи рублей, а за каждый десятый отчет выплата составила более 157 тысяч рублей.
Особенно щедрыми оказались программы финансовых сервисов, где за каждый десятый принятый отчет выплата достигала 190 100 рублей и более. За половину всех принятых отчетов вознаграждение превышало 20 тысяч рублей.
Максимальная выплата за одну найденную уязвимость в 2024 году составила 3,96 миллиона рублей и была произведена компанией VK, что на 39% больше аналогичного рекорда предыдущего года. За год 16 исследователей заработали на платформе более 1 миллиона рублей, а трое из них — свыше 7 миллионов.
На платформе было представлено 84 программы компаний из различных отраслей. Наибольшее число отчетов (26%) поступило от исследователей, изучавших инфраструктуру организаций сектора торговли и электронной коммерции. Среди лидеров оказались маркетплейсы Wildberries и Ozon, которые приняли более 600 и 300 отчетов соответственно, выплачивая исследователям 5,7 и 5,5 миллиона рублей.
Активность также наблюдалась в программах онлайн-сервисов, финансового сектора, медиа и развлечений, а также государственных учреждений.
- Источник новости
- www.securitylab.ru