Las organizaciones pagaron a los hackers éticos de "sombrero blanco" US $ 23.5 millones por las 10 principales vulnerabilidades de ciberseguridad en un año, según HackerOne

Foto de Markus Spiske en Unsplash

Resumen del editor: Algunas de las 10 principales vulnerabilidades de ciberseguridad, como el cross-site scripting (XSS) y la inyección SQL, permanecen en el radar de la mayoría de los CISO y profesionales. Por cada sitio web o aplicación mal mantenido, estas y muchas de las principales vulnerabilidades pueden paralizarlos fácilmente y dejarlos fuera de línea o volverse susceptibles como zombis para que los intrusos aprovechen los recursos del sistema y del servidor para otros propósitos nefastos. Según HackerOne, las organizaciones han pagado US $ 23.5 millones a sus “hackers de sombrero blanco” o hackers éticos para identificar estas vulnerabilidades antes de que los malintencionados las encuentren, manteniendo así los sitios y las aplicaciones seguros. El comunicado del proveedor se encuentra a continuación.

Las organizaciones pagaron a los piratas informáticos 23.5 millones de dólares por estas 10 vulnerabilidades en un año

El informe de HackerOne revela secuencias de comandos entre sitios, control de acceso inadecuado y divulgación de información en la lista principal de las vulnerabilidades más comunes e impactantes

SINGAPUR, @mcgallen #microwireinfo, 30 de octubre de 2020 - En tiempos de incertidumbre, la seguridad se convierte en una prioridad cada vez más urgente. Hay mucho en juego: las organizaciones dependen más que nunca de la tecnología y cualquiera que confíe en la tecnología puede perderlo todo en una violación de datos. Pero algunas de las vulnerabilidades más recientes tienen una cosa en común: fueron detectadas, descubiertas y reportadas por hackers amigables que pueden pensar como atacantes.

“Este año, las organizaciones de todo el mundo se vieron obligadas a digitalizarse con sus ofertas de productos y servicios”, dijo Miju Han, director senior de gestión de productos de HackerOne. “Las empresas se apresuraron a encontrar nuevas fuentes de ingresos, creando ofertas digitales para los clientes cuyos estilos de vida habían cambiado drásticamente. Decenas de millones de trabajadores comenzaron a trabajar de forma remota, estuvieran preparados o no. Con este ritmo acelerado de transformación digital, los CISO tenían que facilitar rápidamente las nuevas necesidades al tiempo que garantizaban la seguridad de los sistemas existentes. Frente a estos obstáculos, los líderes de seguridad han ganado un nuevo reconocimiento por la seguridad impulsada por piratas informáticos como una solución ágil, escalable y rentable para aumentar sus propios recursos y ofrecer un enfoque de pago por resultados que se justifica más con presupuestos ajustados ".

HackerOne mantiene la base de datos de vulnerabilidades más autorizada de la industria. Con más de 200,000 vulnerabilidades válidas encontradas por piratas informáticos, HackerOne analizó estos datos para obtener información de los 10 tipos de vulnerabilidades más impactantes y recompensadas.

Los 10 tipos de vulnerabilidad más impactantes y recompensados ​​de HackerOne de 2020, en orden descendente, son:

  1. Secuencias de comandos entre sitios (XSS)
  2. Control de acceso inadecuado
  3. Información de divulgación
  4. Falsificación de solicitudes del lado del servidor (SSRF)
  5. Referencia directa insegura a objetos (IDOR)
  6. Escalada de privilegios
  7. SQL Injection
  8. Autenticación incorrecta
  9. Inyección de código
  10. Falsificación de solicitudes entre sitios (CSRF)

Echando un vistazo más de cerca a los diez mejores de este año en comparación con el 2019 diez vulnerabilidades principales, los hallazgos clave incluyen:

  1. Secuencias de comandos entre sitios Las vulnerabilidades continúan siendo una amenaza importante para las aplicaciones web, ya que los atacantes que explotan los ataques XSS pueden obtener el control de la cuenta del usuario y robar información personal como contraseñas, números de cuentas bancarias, información de tarjetas de crédito, información de identificación personal (PII), números de seguridad social y más. La vulnerabilidad más premiada en dos años consecutivos, las vulnerabilidades XSS le costó a las organizaciones US $ 4.2 millones en recompensas totales, un 26% más que el año anterior. Estos errores representan el 18% de todas las vulnerabilidades reportadas, pero la recompensa promedio es de solo 501 dólares. Dado que la recompensa promedio por una vulnerabilidad crítica es de US $ 3,650, esto significa que las organizaciones están mitigando este error común y potencialmente doloroso a bajo costo.
  2. Control de acceso inadecuado (desde el noveno lugar en 2019) y Información de divulgación (todavía ocupando el tercer lugar) siguen siendo comunes. Los premios por control de acceso inadecuado aumentaron 134% año tras año a poco más de 4 millones de dólares. La divulgación de información no se quedó atrás, aumentando un 63% año tras año. Las decisiones de diseño de control de acceso deben ser tomadas por humanos, no por tecnología, y el potencial de errores es alto, y ambos errores son casi imposibles de detectar usando herramientas automatizadas.
  3. SSRF Las vulnerabilidades, que pueden explotarse para atacar sistemas internos detrás de firewalls, muestran el riesgo de migraciones a la nube. Anteriormente, los errores de SSRF eran bastante benignos y ocupaban nuestro séptimo lugar, ya que solo permitían el escaneo de la red interna y, a veces, el acceso a los paneles de administración internos. Pero en esta era de rápida transformación digital, la llegada de la arquitectura en la nube y los puntos finales de metadatos desprotegidos ha hecho que estas vulnerabilidades sean cada vez más críticas.
  4. SQL Injection está cayendo año tras año. Considerada una de las peores amenazas a la seguridad de las aplicaciones web por OWASP y otros, la escala de los ataques de inyección SQL puede ser devastadora, ya que los datos confidenciales, incluida la información comercial, la propiedad intelectual y los datos críticos de los clientes, se almacenan en servidores de bases de datos susceptibles a estos ataques. . En años anteriores, la inyección de SQL era uno de los tipos de vulnerabilidad más comunes. Sin embargo, nuestros datos indican que ha estado cayendo año tras año del quinto en 2019 al séptimo en 2020. Al cambiar la seguridad a la izquierda, las organizaciones están aprovechando a los piratas informáticos y otros métodos para monitorear de manera proactiva las superficies de ataque y evitar que los errores ingresen el código.

“Encontrar los tipos de vulnerabilidad más comunes es económico”, continuó Han. “De los 10 tipos de debilidades más premiados, solo el control de acceso inadecuado, la falsificación de solicitudes del lado del servidor (SSRF) y la divulgación de información vieron aumentar sus recompensas promedio en más del 10%. Los otros cayeron en valor promedio o se mantuvieron casi planos. A diferencia de las herramientas y métodos de seguridad tradicionales, que se vuelven más costosos y engorrosos a medida que los objetivos cambian y la superficie de ataque se expande, la seguridad impulsada por piratas informáticos es en realidad más rentable a medida que pasa el tiempo. Con los piratas informáticos, es cada vez menos costoso evitar que los delincuentes exploten los errores más comunes ".

Para conocer los 10 tipos de vulnerabilidad más impactantes y recompensados ​​de HackerOne, edición 2020, visite https://www.hackerone.com/top-10-vulnerabilities

Sobre HackerOne

HackerOne permite al mundo construir una Internet más segura. Como la plataforma de seguridad impulsada por piratas informáticos más confiable del mundo, HackerOne brinda a las organizaciones acceso a la comunidad de piratas informáticos más grande del planeta. Armada con la base de datos más sólida de tendencias de vulnerabilidad y puntos de referencia de la industria, la comunidad de piratas informáticos mitiga el riesgo cibernético al buscar, encontrar e informar de manera segura las debilidades de seguridad del mundo real para organizaciones en todas las industrias y superficies de ataque. Los clientes incluyen el Departamento de Defensa de EE. UU., Dropbox, General Motors, GitHub, Goldman Sachs, Google, Hyatt, Intel, Lufthansa, Microsoft, MINDEF Singapur, Nintendo, PayPal, Qualcomm, Slack, Starbucks, Twitter y Verizon Media. HackerOne ocupó el quinto lugar en la lista de empresas más innovadoras del mundo de Fast Company para 2020. Con sede en San Francisco, HackerOne tiene presencia en Londres, Nueva York, Países Bajos, Francia, Singapur y más de 70 ubicaciones en todo el mundo.

Metodología

Esta edición de los 10 tipos de vulnerabilidad más impactantes y recompensados ​​de HackerOne se basó en los datos patentados de HackerOne que examinaron las debilidades de seguridad resueltas en la plataforma HackerOne entre mayo de 2019 y abril de 2020. Las vulnerabilidades incluidas aquí fueron informadas por la comunidad de hackers a través de divulgaciones de vulnerabilidades y públicas y privadas programas de recompensas. Todas las clasificaciones de vulnerabilidades fueron realizadas o confirmadas por los clientes de HackerOne, incluido el tipo de debilidad, el impacto y la gravedad.

Nota la taxonomía de calificación de vulnerabilidad, que HackerOne asigna al estándar de la industria Common Weakness Enumeration, es utilizado por los clientes y hackers de HackerOne para categorizar las vulnerabilidades reportadas. Los datos presentados aquí son desde mayo de 2019 hasta abril de 2020.

###