Las recompensas de Bug Bounty aumentan un 26% en 2020 - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Las recompensas de Bug Bounty aumentan un 26% en 2020

Hola, un placer verte por aquí. Yo soy Eduardo Arroyo y en el día de hoy hablaremos sobre Las recompensas de Bug Bounty aumentan un 26% en 2020

Las recompensas de Bug Bounty aumentan un 26% en 2020

La falla más premiada es XSS, que se encuentra entre las que son relativamente económicas de identificar para las organizaciones.

El cross-site scripting (XSS) siguió siendo la vulnerabilidad más impactante y, por lo tanto, la que obtuvo los premios más altos para piratas informáticos éticos en 2020 por segundo año consecutivo, según una lista de las 10 principales vulnerabilidades publicadas hoy por HackerOne.

La vulnerabilidad, que permite a los atacantes inyectar scripts del lado del cliente en las páginas web vistas por otros usuarios, les valió a los piratas informáticos $ 4.2 millones en recompensas totales por errores durante el año pasado, un aumento del 26% con respecto a lo que pagado en 2019 por encontrar fallas XSS, según el informe.

Los siguientes XSS en la lista de la firma de piratería ética de las «10 vulnerabilidades más impactantes y premiadas de 2020» son: control de acceso inadecuado, divulgación de información, falsificación de solicitudes del lado del servidor (SSRF), referencia directa a objetos inseguros (IDOR), escalada de privilegios de inyección SQL, autenticación incorrecta, inyección de código y falsificación de solicitudes entre sitios (CSRF).

En total, las organizaciones pagaron a los piratas informáticos éticos 23,5 millones de dólares en recompensas este año por todas estas fallas, según HackerOne, que mantiene una base de datos de 200.000 vulnerabilidades encontradas por los piratas informáticos.

Los atacantes utilizan las vulnerabilidades XSS para obtener el control de la cuenta de un usuario Online y robar información personal como contraseñas, números de cuentas bancarias, información de tarjetas de crédito, información de identificación personal (PII), números de seguridad social y similares. Si bien representan el 18% de todas las vulnerabilidades informadas, los piratas informáticos éticos en realidad están mal pagados por encontrarlos, según HackerOne.

Un premio de recompensa por error por un defecto XSS es de aproximadamente $ 501, muy por debajo del premio promedio de $ 3,650 por un defecto crítico, lo que permite a las organizaciones mitigar el error común a bajo precio, anotaron los investigadores.

De hecho, los investigadores encontraron que cuanto más común es una vulnerabilidad, a los piratas informáticos se les paga menos éticamente y, por lo tanto, menos pagan las organizaciones para detectarla y mitigarla, señaló Miju Han, director senior de gestión de productos en HackerOne.

«Encontrar los tipos más comunes de vulnerabilidades no es costoso», dijo en un comunicado de prensa, y señaló que solo tres de las 10 principales vulnerabilidades de la lista: control de acceso inadecuado, falsificación de solicitudes del lado del servidor (SSRF) y divulgación de información. han visto aumentar sus recompensas de recompensas promedio en más de un 10 por ciento durante el transcurso del año.

Esto demuestra que el uso de piratas informáticos éticos para detectar errores puede ser una propuesta de valor más rentable para las organizaciones que implementar «herramientas y métodos de seguridad tradicionales, que se vuelven más costosos y engorrosos a medida que cambian los objetivos». y la superficie de ataque se expande «, dijo Han.

Entre las vulnerabilidades que vieron aumentar sus existencias en 2020, el control de acceso inadecuado pasó del noveno al segundo, y la divulgación de información, que se mantuvo estable en el tercer lugar por puntos en común, se volvió más valiosa en el mercado de recompensas por errores. anotaron los investigadores.

Las primas por control de acceso inadecuado aumentaron 134% año tras año a poco más de $ 4 millones, mientras que las primas por errores por divulgación de información aumentaron 63% año tras año.

Debido a que las decisiones de diseño de control de acceso deben ser tomadas por humanos, no por tecnología, el potencial de errores es alto, dijeron los investigadores. Estas fallas también son casi imposibles de detectar usando herramientas automatizadas, lo que hace que la capacidad de un hacker ético para identificarlas sea más valiosa, dijeron.

De hecho, incluso las grandes empresas de tecnología que históricamente se resistieron a ser transparentes sobre los protocolos de seguridad de sus productos se han entusiasmado con la idea de recompensar a los piratas informáticos éticos por su trabajo. Tanto Apple como TikTok de ByteDance han lanzado programas públicos de recompensas por errores basados ​​en recompensas durante los últimos 12 meses.

Han señaló que el mayor interés en la piratería ética en 2020 también se debe a la mayor digitalización de los productos y servicios de las organizaciones debido a la pandemia de COVID-19 y sus pedidos domésticos.

«Las empresas se apresuraron a encontrar nuevas fuentes de ingresos, creando ofertas digitales para los clientes cuyos estilos de vida habían cambiado drásticamente», dijo en el comunicado. «Decenas de millones de trabajadores empezaron a trabajar de forma remota independientemente de si estaban preparados o no».

Este «ritmo acelerado de la transformación digital» ha dado a los líderes de seguridad una nueva perspectiva sobre el uso de la piratería ética para aumentar los activos de seguridad existentes, haciéndolos más dispuestos a apoyar un enfoque basado en resultados, agregó Han.

.

No te olvides compartir en tus redes sociales para que tus amigos lo vean

??? ? ? ???

Comparte