Les pirates signalent la première vulnérabilité de sécurité à 77% des clients dans les 24 heures - HackerOne Report révèle

Photo par Markus Spiske sur Unsplash

SINGAPOUR, le 30 août 2019 - HackerOne, la première plate-forme de test de stylet et de prime de bogue alimentée par les hackers, a annoncé aujourd'hui les résultats de son rapport de sécurité 2019 alimenté par les hackers. Le rapport est la plus grande étude sur la prime de bogue, la divulgation de vulnérabilités et les programmes pentest propulsés par les pirates. Le rapport examine les tendances de plus de 120,000 1,400 vulnérabilités de sécurité résolues pour plus de 62 XNUMX clients, rapportant aux pirates plus de XNUMX millions de dollars US en primes.

  • Les programmes gouvernementaux ont augmenté de 214%, les clients ont résolu 30,541 vulnérabilités de sécurité et les pirates informatiques ont gagné 21 millions de dollars américains au cours des 12 derniers mois.

Lorsqu'un nouveau programme de bug bounty est lancé, dans 77% des cas, les pirates signalent la première vulnérabilité valide dans les 24 heures. 25% des vulnérabilités valides trouvées sont classées comme étant de gravité élevée ou critique. Toutes les cinq minutes, un pirate informatique signale une vulnérabilité via un programme de prime de bogue ou de divulgation de vulnérabilité. Toutes les 60 secondes, un hacker s'associe à une organisation sur HackerOne. Cela représente plus de 1,000 interactions par jour avec des pirates informatiques et des entreprises ou des gouvernements qui travaillent pour un Internet plus sûr. C'est ainsi que la sécurité peut s'améliorer rapidement lorsque les pirates sont invités à contribuer.

«Le piratage est là pour de bon, pour le bien de nous tous», a déclaré Marten Mickos, PDG de HackerOne. «Un demi-million de pirates se sont volontairement inscrits à HackerOne pour aider à résoudre l'un des plus grands défis auxquels notre société est confrontée aujourd'hui. Nous ne pouvons pas empêcher les violations de données, réduire la cybercriminalité, protéger la vie privée ou restaurer la confiance dans la société sans mettre en commun nos défenses et demander une aide extérieure. »

Les principales conclusions comprennent:

  • La prime moyenne payée pour les vulnérabilités critiques est passée à 3,384 $ US l'année dernière. Une augmentation de 48% par rapport à la moyenne de 2,281 71 USD l'an dernier et de 2016% par rapport à la moyenne de 1,977 de 65 XNUMX USD. Les valeurs de prime pour les vulnérabilités moins graves augmentent également, la prime moyenne à l'échelle de la plate-forme augmentant de XNUMX%.
  • Les gouvernements ont enregistré la plus forte croissance de l'industrie d'une année à l'autre avec 214%, et l'année dernière a vu le premier lancement de programmes au niveau municipal. Une forte adoption des programmes a eu lieu dans les secteurs de l'automobile (113%), des télécommunications (91%), des biens de consommation (64%) et de la crypto-monnaie et de la blockchain (64%).
  • La majorité des programmes de bug bounty restent privés à 79% avec peu de changement par rapport aux années précédentes. Les programmes publics de bug bounty engagent six fois plus de pirates.
  • Aujourd'hui, six des dix plus grandes banques d'Amérique du Nord exécutent des programmes de sécurité basés sur des hackers sur HackerOne. Les organisations de services financiers exécutant des programmes de sécurité basés sur les pirates informatiques ont augmenté de 41% cette année.
  • Six pirates informatiques ont dépassé le million de dollars américains en revenus à vie, sept autres ont touché 500,000 50 USD de revenus à vie, et plus de 100,000 ont gagné XNUMX XNUMX USD ou plus au cours de la seule année écoulée. Les pirates informatiques qualifiés et dévoués ont le potentiel de se bâtir une carrière et de gagner leur vie avec les opportunités offertes par la sécurité propulsée par les pirates.
  • La mondialisation de la sécurité propulsée par les hackers continue d'augmenter. Plusieurs nouveaux pays sont entrés dans le top 10 des pirates les mieux payés, les pirates informatiques vivant dans 19 pays ont gagné plus de 100,000 84 dollars au total l'année dernière, et davantage d'organisations dans plus de pays organisent des événements de piratage en direct. Des hackers de XNUMX% de tous les pays du monde ont soumis des rapports de vulnérabilité.
  • Les pentests propulsés par des hackers en plein essor car les organisations utilisent des pirates pour apporter des simulations d'attaques du monde réel aux tests de sécurité. Dans un rapport récent, une organisation a expliqué comment les tests de stylet alimentés par les hackers les ont aidés à éliminer 156,784 384,793 $ US de coûts totaux et à économiser XNUMX XNUMX $ US supplémentaires sur trois ans en réduisant les efforts de sécurité interne et de développement d'applications.

«Les pirates informatiques ne sont plus des armes à feu anonymes», explique le rapport. «Ils sont adoptés par tout le monde, du secteur de l'assurance aux agences gouvernementales. Aujourd'hui, la sécurité propulsée par les hackers fait partie intégrante d'un programme de sécurité mature et proactif. Il n'est pas difficile de comprendre pourquoi. Les entreprises traitent des données plus sensibles et plus d'informations personnelles que jamais. Travailler avec des pirates vous permet d’assurer la sécurité à la vitesse de l’innovation. »

Le rapport de sécurité optimisé par les hackers 2019 est le rapport le plus complet du secteur sur la sécurité fourni par les pirates, évaluant les sujets expliqués ci-dessus et plus encore. Les données proviennent de la communauté de hackers de HackerOne et de la base de données des vulnérabilités signalées et résolues. Sauf indication contraire, les chiffres représentent les 12 mois de mai 2018 à avril 2019.

Le rapport complet est disponible à l'adresse suivante: https://www.hackerone.com/resources/hacker-powered-security-report-2019.

À propos de HackerOne
HackerOne est le n ° 1 plateforme de sécurité propulsée par les hackers, aidant les organisations à trouver et à corriger les vulnérabilités critiques avant qu'elles ne puissent être exploitées. Plus de sociétés Fortune 500 et Forbes Global 1000 font confiance à HackerOne qu'à toute autre alternative de sécurité basée sur les hackers. Le département américain de la Défense, General Motors, Google, Twitter, GitHub, Nintendo, Lufthansa, Microsoft, MINDEF Singapour, Panasonic Avionics, Qualcomm, Starbucks, Dropbox, Intel, le Centre de coordination CERT et plus de 1,500 autres organisations se sont associés à HackerOne pour trouver plus de 130,000 vulnérabilités et attribuer plus de 64 millions de dollars primes de bug. HackerOne a son siège à San Francisco et des bureaux à Londres, New York, aux Pays-Bas, en France et à Singapour.

###