Los hackers reportan un 21% más de vulnerabilidades en 2023 que en 2023
HackerOne informa que los piratas informan más errores y obtienen mayores recompensas, pero ¿es un aumento en las pruebas o un aumento en las vulnerabilidades del software la razón del salto?
Imagen: Shutterstock/Krakenimages.com
Centro de recompensas de errores HackerOne anunciado Para 2023, su base de usuarios independientes de piratería de recompensas informó la friolera de más de 66,000 vulnerabilidades verificadas, un aumento del 20% con respecto al total del año pasado. ¿Qué está causando exactamente el aumento de este año cuando el año anterior fue un año real de incertidumbre y caos inducido por COVID?
Además del aumento en el número de errores verificados, Informe de HackerOne También se encontró que la recompensa promedio pagada por un error crítico (Calificación utilizando la escala CVSS) aumentó un 13 %, y los errores clasificados como de «gravedad alta» aumentaron un 30 %, un nivel por debajo de la gravedad.
Mirar: Violación de contraseña: por qué la cultura popular y las contraseñas no se pueden mezclar (PDF gratuito) (República tecnológica)
Con una mayor detección de vulnerabilidades y gasto, la cantidad de lo que HackerOne llama «iniciativas de seguridad impulsadas por piratas informáticos» crecerá un 34 % en 2023, y las industrias aeroespacial, de tecnología médica y gubernamental experimentarán el crecimiento más rápido. HackerOne también señaló que el uso de seguridad basada en piratas informáticos en la industria de servicios financieros continuó creciendo en un 62% (el cuarto más grande), lo que se esperaba porque «fuera de las industrias de tecnología central, [financial services] A menudo liderando el camino con soluciones de seguridad ágiles y con visión de futuro. »
¿Qué tipo de errores se encontraron?
Comprender los tipos de errores que se están descubriendo es una parte importante de enmarcar un problema de seguridad que esté preparado para varias tendencias en el mundo de la seguridad.
Según la investigación de HackerOne, las vulnerabilidades de secuencias de comandos entre sitios siguen siendo las más descubiertas entre 2023 y 2023, con un aumento del 7 % año tras año. La divulgación de información aumentó un 58% interanual, lo que provocó su ascenso del tercero al segundo. Reemplaza el control de acceso inapropiado, que se deslizó al tercer lugar.
Sin embargo, la amenaza más peligrosa de este año fueron los errores de lógica de negocios, que ingresaron al top 10 por primera vez en los 5 años desde que HackerOne publicó el informe, con un aumento del 67 % año tras año.
Un error de lógica empresarial es cómo los atacantes abusan de la funcionalidad legítima en un sitio web para dañar al propietario del sitio web. Ejemplos de esto incluyen cancelar una compra lo suficientemente rápido como para que no se cobren tarifas, pero aun así ganar puntos de lealtad asociados con la compra; o inyectar niveles más bajos en los objetos en un carrito de compras de comercio electrónico al abusar de la forma en que un sitio maneja su lógica de fijación de precios. . Estos errores no son tanto una forma de romper un sistema como una forma de abusar del diseño legítimo pero malo del sitio web.
¿Hay más errores o simplemente más informes?
La pregunta central de este informe, si la cantidad de errores en el software realmente está aumentando o si los errores existentes se descubren con mayor frecuencia debido a la creciente popularidad de los programas de recompensas por errores, no puede responderse definitivamente sin información adicional. Me comuniqué con HackerOne para hacer comentarios, pero no he recibido respuesta; esta publicación se actualizará si lo hago.
Pero sin esa información, aún se pueden sacar conclusiones, especialmente cuando se consideran los números de HackerOne sobre cómo detectar errores. Por ejemplo, el programa de recompensas por errores solo ha crecido un 10 % este año, con 42 805 errores informados, en comparación con 38 863 en 2023. En ambos tipos de programas de recompensas por errores, las recompensas privadas (disponibles solo para piratas informáticos invitados) aumentaron un 16 %, mientras que las públicas aumentaron solo un 2 %.
Los otros dos métodos para encontrar errores, el Programa de divulgación de vulnerabilidades (VDP) y las pruebas de penetración, son donde está el verdadero crecimiento. Los informes de VDP aumentaron un 47 % y los informes de errores de las pruebas de penetración aumentaron un asombroso 264 %.
HackerOne dijo que vio un gran aumento en la popularidad de las pruebas de penetración, lo que dijo que se debió a «un mayor enfoque del cliente en el cumplimiento de las normas y estándares de seguridad». Sin embargo, en números absolutos, las pruebas de penetración solo han encontrado una fracción de las vulnerabilidades que detectan las recompensas de errores privadas: las pruebas de penetración encontraron 1.804 vulnerabilidades en 2023, en comparación con las 25.278 encontradas por las recompensas privadas.
Mirar: Google Chrome: Consejos de seguridad e interfaz de usuario que necesita saber (República Tecnológica Premium)
Independientemente de la forma del informe, HackerOne dice que las soluciones impulsadas por piratas informáticos están demostrando su valor. «Los datos y la información sobre vulnerabilidades que las organizaciones obtienen de las recompensas por errores, VDP y las pruebas de penetración les permiten determinar mejor el origen de los problemas y hacia dónde dirigir los recursos y la capacitación», concluyó el informe.
Está en el aire si esto debería brindarle tranquilidad: parece que se están descubriendo más errores no porque la cantidad de errores esté aumentando, sino porque la cantidad de hackers de sombrero blanco que usan su poder para el bien (y las ganancias) está aumentando. Lo que esto realmente significa es que su sistema puede estar tan lleno de errores como el de cualquier otra persona. El único problema es que aún no has encontrado el tuyo.
