Selon HackerOne, les organisations ont payé 23.5 millions de dollars américains aux pirates éthiques «chapeau blanc» pour les 10 principales vulnérabilités de cybersécurité en un an

Photo par Markus Spiske sur Unsplash

Note de l'éditeur: Certaines des 10 principales vulnérabilités de cybersécurité, telles que les scripts intersites (XSS) et l'injection SQL, restent sur le radar pour la plupart des RSSI et des praticiens. Pour chaque site Web ou application mal entretenu, ces vulnérabilités et bien d'autres peuvent facilement les paralyser et les rendre hors ligne, ou devenir susceptibles en tant que zombies pour les intrus de tirer parti des ressources du système et du serveur à d'autres fins néfastes. Selon HackerOne, les organisations ont payé 23.5 millions de dollars à leur «chapeau blanc» ou à des pirates éthiques pour identifier ces vulnérabilités avant que les mauvais acteurs ne les trouvent, assurant ainsi la sécurité des sites et des applications. La version du fournisseur est ci-dessous.

Les organisations ont payé 23.5 millions de dollars américains aux pirates informatiques pour ces 10 vulnérabilités en un an

Le rapport HackerOne révèle que les scripts intersites, le contrôle d'accès inapproprié et la divulgation d'informations sont en tête de liste des vulnérabilités les plus courantes et les plus importantes

SINGAPOUR, @mcgallen #microwireinfo, 30 octobre 2020 - En période d'incertitude, la sécurité devient une priorité de plus en plus pressante. Les enjeux sont de taille: les organisations dépendent plus que jamais de la technologie et quiconque compte sur la technologie peut tout perdre en cas de violation de données. Mais certaines des vulnérabilités les plus récentes ont un point commun: elles ont été détectées, découvertes et signalées par des pirates sympathiques qui peuvent penser comme des attaquants.

«Cette année, les organisations du monde entier ont été contraintes de passer au numérique avec leurs offres de produits et leurs services», a déclaré Miju Han, directeur principal de la gestion des produits de HackerOne. «Les entreprises se sont efforcées de trouver de nouvelles sources de revenus, créant des offres numériques pour les clients dont les modes de vie avaient radicalement changé. Des dizaines de millions de travailleurs ont commencé à travailler à distance, qu'ils soient prêts ou non. Face à ce rythme accéléré de transformation numérique, les RSSI ont dû répondre rapidement aux nouveaux besoins tout en assurant la sécurité des systèmes existants. Face à ces obstacles, les responsables de la sécurité ont acquis une nouvelle appréciation de la sécurité propulsée par les pirates informatiques en tant que solution agile, évolutive et rentable pour augmenter leurs propres ressources et offrir une approche de rémunération au résultat qui se justifie davantage dans un budget serré.

HackerOne maintient la base de données de vulnérabilités la plus fiable du secteur. Avec plus de 200,000 10 vulnérabilités valides découvertes par des pirates, HackerOne a examiné ces données pour obtenir des informations sur les XNUMX types de vulnérabilités les plus percutants et les plus récompensés.

Les 10 types de vulnérabilités les plus percutants et récompensés de HackerOne en 2020, par ordre décroissant, sont:

  1. Script intersite (XSS)
  2. Contrôle d'accès inapproprié
  3. Divulgation d'information
  4. Falsification de demande côté serveur (SSRF)
  5. Référence d'objet direct non sécurisé (IDOR)
  6. Elévation de Privilèges
  7. Injection SQL
  8. Authentification incorrecte
  9. Injection de code
  10. Falsification de requêtes intersites (CSRF)

En regardant de plus près le top XNUMX de cette année par rapport au 2019 les dix principales vulnérabilités, les principales conclusions comprennent:

  1. Script intersite les vulnérabilités continuent d'être une menace majeure pour les applications Web, car les attaquants exploitant les attaques XSS peuvent prendre le contrôle du compte de l'utilisateur et voler des informations personnelles telles que des mots de passe, des numéros de compte bancaire, des informations de carte de crédit, des informations personnelles identifiables (PII), des numéros de sécurité sociale et plus. La vulnérabilité la plus récompensée depuis deux ans, les vulnérabilités XSS ont coûté aux organisations 4.2 millions de dollars US en primes totales, en hausse de 26% par rapport à l'année précédente. Ces bogues représentent 18% de toutes les vulnérabilités signalées, mais la prime moyenne n'est que de 501 USD. La prime moyenne pour une vulnérabilité critique étant de 3,650 XNUMX USD, cela signifie que les organisations atténuent ce bogue commun et potentiellement douloureux à bon marché.
  2. Contrôle d'accès inapproprié (contre la neuvième place en 2019) et Divulgation d'information (tenant toujours la troisième place) restent communs. Les récompenses pour un contrôle d'accès inapproprié ont augmenté de 134% d'une année sur l'autre pour atteindre un peu plus de 4 millions de dollars américains. La divulgation de l'information n'était pas loin derrière, augmentant de 63% d'une année à l'autre. Les décisions de conception du contrôle d'accès doivent être prises par des humains, et non par la technologie, et le potentiel d'erreurs est élevé, et les deux erreurs sont presque impossibles à détecter à l'aide d'outils automatisés.
  3. SSRF les vulnérabilités, qui peuvent être exploitées pour cibler les systèmes internes derrière des pare-feu, montrent le risque de migrations cloud. Auparavant, les bogues SSRF étaient assez bénins et occupaient notre septième place, car ils permettaient uniquement l'analyse du réseau interne et parfois l'accès aux panneaux d'administration internes. Mais en cette ère de transformation numérique rapide, l'avènement de l'architecture cloud et des points de terminaison de métadonnées non protégés a rendu ces vulnérabilités de plus en plus critiques.
  4. Injection SQL diminue d'année en année. Considérée comme l'une des pires menaces pour la sécurité des applications Web par OWASP et d'autres, l'ampleur des attaques par injection SQL peut être dévastatrice, car les données sensibles, y compris les informations commerciales, la propriété intellectuelle et les données client critiques, sont stockées sur des serveurs de base de données sensibles à ces attaques. . Dans le passé, l'injection SQL était l'un des types de vulnérabilité les plus courants. Cependant, nos données indiquent qu'il est passé d'une année à l'autre de la cinquième en 2019 à la septième en 2020. En déplaçant la sécurité vers la gauche, les entreprises exploitent les pirates et d'autres méthodes pour surveiller de manière proactive les surfaces d'attaque et empêcher les bogues d'entrer dans le code.

«Trouver les types de vulnérabilité les plus courants est peu coûteux», a poursuivi Han. «Parmi les 10 types de faiblesses les plus récompensés, seuls le contrôle d'accès inapproprié, la falsification de demande côté serveur (SSRF) et la divulgation d'informations ont vu leurs primes moyennes augmenter de plus de 10%. Les autres ont chuté en valeur moyenne ou étaient presque stables. Contrairement aux outils et méthodes de sécurité traditionnels, qui deviennent plus coûteux et plus encombrants à mesure que les objectifs changent et que la surface d'attaque augmente, la sécurité propulsée par les pirates informatiques est en fait plus rentable avec le temps. Avec les pirates, il devient moins coûteux d'empêcher les mauvais acteurs d'exploiter les bogues les plus courants. »

Pour consulter l'intégralité du Top 10 des types de vulnérabilités les plus percutants et récompensés de HackerOne - Édition 2020, veuillez visiter https://www.hackerone.com/top-10-vulnerabilities

À propos de HackerOne

HackerOne permet au monde de créer un Internet plus sûr. En tant que plate-forme de sécurité basée sur les hackers la plus fiable au monde, HackerOne donne aux organisations accès à la plus grande communauté de hackers de la planète. Armée de la base de données la plus robuste des tendances de vulnérabilité et des références du secteur, la communauté des pirates informatiques atténue les cyberrisques en recherchant, en trouvant et en signalant en toute sécurité les failles de sécurité réelles pour les organisations de tous les secteurs et surfaces d'attaque. Les clients incluent le département américain de la Défense, Dropbox, General Motors, GitHub, Goldman Sachs, Google, Hyatt, Intel, Lufthansa, Microsoft, MINDEF Singapour, Nintendo, PayPal, Qualcomm, Slack, Starbucks, Twitter et Verizon Media. HackerOne a été classé cinquième sur la liste des entreprises les plus innovantes au monde de Fast Company pour 2020. Basée à San Francisco, HackerOne est présente à Londres, New York, aux Pays-Bas, en France, à Singapour et dans plus de 70 autres sites à travers le monde.

Notre Méthodologie

Cette édition du Top 10 des types de vulnérabilités les plus percutants et récompensés de HackerOne était basée sur les données exclusives de HackerOne examinant les faiblesses de sécurité résolues sur la plate-forme HackerOne entre mai 2019 et avril 2020. Les vulnérabilités incluses ici ont été signalées par la communauté des hackers via des divulgations de vulnérabilités et publiques et privées. programmes de primes. Toutes les classifications de vulnérabilité ont été faites ou confirmées par les clients de HackerOne, y compris le type de faiblesse, l'impact et la gravité.

Noter la taxonomie d'évaluation de la vulnérabilité, que HackerOne mappe à la norme de l'industrie Common Weakness Enumeration, est utilisé par les clients et les pirates de HackerOne pour catégoriser les vulnérabilités signalées. Les données présentées ici sont de mai 2019 à avril 2020.

###