圖片來源: 

HackerOne

專門代管各種抓漏專案(bug bounty)的HackerOne本周公布了 「基於駭客能力的安全報告」(Hacker-Powered Security Report ),探討抓漏專案的現況,指出針對重要漏洞的平均獎金不斷增高,且有41%的抓漏專案是由非科技業者所發起的。

抓漏專案最早源自於1983年的Hunter & Ready,但當時並未受到太多關注,而Netscape在1995年複製了該模式,再由微軟、Google、臉書及Mozilla等業者負責發揚光大。HackerOne蒐集了該平台逾800個抓漏專案的資料,涉及近5萬個被解決的安全漏洞與13個產業,一窺現階段的全球抓漏趨勢。

HackerOne把抓漏專案稱為基於駭客能力的安全機制,因為它鼓勵外部的駭客社群挖掘企業系統中未知的安全漏洞,並提供獎金。

調查發現,在去年發起的抓漏專案中,有41%來自非科技產業,且業者回應安全問題的平均天數從去年的7天縮短到今年的6天,重要漏洞的平均獎金從2015年的1624美元提高到今年的1923美元,而提出高額獎金的抓漏專案平均每月支付5萬美元,其中有些每年支付近90萬美元。

科技產業迄今仍是抓漏專案的最大雇主,但所佔比例逐年縮小,從2014~2015年的72%到2015~2016年的61%,一直到2016~2017的59%,顯示抓漏趨勢已從科技產業延伸至其他產業,其中,媒體暨娛樂業與金融業都各佔了10%,並有6%來自零售業、旅遊飯店業與醫療照護產業各佔3%,運輸業及政府也各佔了2%。

從去年1月到今年5月間,採用抓漏專案成長最快的行業別則是零售業與遊戲產業,分別成長了76%與75%。

另一方面,最常被抓到的漏洞為跨站指令碼(Cross-site Scripting)漏洞,幾乎在每個產業都居冠,除了金融與服務業以外。金融與服務業經由抓漏專案而修補的漏洞中,以不適當的認證機制為首,佔了22%,其次才是佔19%的跨站指令碼漏洞。

其他常見的漏洞還包括資訊揭露、違反安全設計準則及跨站偽造請求(Cross-Site Request Forgery,CSRF)。

從去年1月到今年5月,藉由HackerOne發動抓漏專案的業者總計支付了逾1700萬美元的獎金,光是今年就發出1000萬獎金。而每個產業所設定的最高抓漏獎金亦有所不同,其中以科技業的3萬美元最多,而零售、遊戲與媒體暨娛樂業的最高抓漏獎金都是2萬美元。

另一個有趣的數據是獲得獎金的研究人員分布區域(下圖,來源:HackerOne),得到最多抓漏獎金的研究人員依序來自美國、印度、澳洲、俄國與瑞典。其中,美國的研究人員賺到了逾240萬美元的獎金,印度研究人員也得到了逾180萬美元的獎金,澳洲的研究人員則以略超出100萬美元的獎金位居第三。


Advertisement

更多 iThome相關內容