Organisasi membayar peretas etis "topi putih" sebesar US $ 23.5 juta untuk 10 kerentanan keamanan siber teratas dalam satu tahun menurut HackerOne

Foto oleh Markus Spiske di Unsplash

Penjelasan singkat editor: Beberapa dari 10 kerentanan keamanan siber teratas, seperti skrip lintas situs (XSS) dan injeksi SQL, tetap ada di radar untuk sebagian besar CISO dan praktisi. Untuk setiap situs web atau aplikasi yang dirawat dengan buruk, kerentanan ini dan banyak kerentanan teratas dapat dengan mudah melumpuhkan mereka, dan menjadikannya offline, atau menjadi rentan sebagai zombie bagi penyusup untuk memanfaatkan sumber daya sistem dan server untuk tujuan jahat lainnya. Menurut HackerOne, organisasi telah membayar US $ 23.5 juta kepada "topi putih" atau peretas etis mereka untuk mengidentifikasi kerentanan ini sebelum pelaku jahat menemukannya, sehingga situs dan aplikasi tetap aman. Rilis vendor ada di bawah.

Organisasi Membayar Peretas US $ 23.5 Juta untuk 10 Kerentanan Ini dalam Satu Tahun

Laporan HackerOne mengungkapkan pembuatan skrip lintas situs, kontrol akses yang tidak tepat, dan pengungkapan informasi daftar teratas kerentanan yang paling umum dan berdampak

SINGAPURA, @mcgallen #microwireinfo, 30 Oktober 2020 - Di saat ketidakpastian, keamanan menjadi prioritas yang semakin mendesak. Taruhannya tinggi: organisasi lebih bergantung pada teknologi daripada sebelumnya dan siapa pun yang mengandalkan teknologi dapat kehilangan segalanya jika terjadi pelanggaran data. Tetapi beberapa kerentanan terbaru memiliki satu kesamaan: mereka terdeteksi, ditemukan, dan dilaporkan oleh peretas ramah yang dapat berpikir seperti penyerang.

"Tahun ini, organisasi di seluruh dunia dipaksa untuk beralih ke digital dengan penawaran produk dan layanan mereka," kata Direktur Senior Manajemen Produk HackerOne Miju Han. “Bisnis berebut untuk menemukan aliran pendapatan baru, menciptakan penawaran digital untuk pelanggan yang gaya hidupnya telah berubah secara dramatis. Puluhan juta pekerja mulai bekerja dari jarak jauh apakah mereka siap atau tidak. Dengan laju transformasi digital yang dipercepat ini, CISO harus dengan cepat memfasilitasi kebutuhan baru sambil memastikan keamanan sistem yang ada. Menghadapi kendala ini, para pemimpin keamanan telah mendapatkan apresiasi yang baru ditemukan untuk keamanan yang diberdayakan oleh peretas sebagai solusi yang gesit, dapat diskalakan, dan hemat biaya untuk menambah sumber daya mereka sendiri dan menawarkan pendekatan pembayaran untuk hasil yang lebih dapat dibenarkan dengan anggaran yang diperketat. ”

HackerOne memelihara database kerentanan paling otoritatif di industri. Dengan lebih dari 200,000 kerentanan valid yang ditemukan oleh peretas, HackerOne mempelajari data ini untuk mendapatkan wawasan dari 10 jenis kerentanan yang paling berdampak dan dihargai.

10 Jenis Kerentanan Paling Berdampak dan Berhadiah dari HackerOne tahun 2020, dalam urutan menurun, adalah:

  1. Skrip Lintas Situs (XSS)
  2. Kontrol Akses yang Tidak Tepat
  3. Informasi Pengungkapan
  4. Pemalsuan Permintaan Sisi Server (SSRF)
  5. Referensi Objek Langsung Tidak Aman (IDOR)
  6. Eskalasi Privilege
  7. SQL Injection
  8. Otentikasi Tidak Benar
  9. Injeksi Kode
  10. Pemalsuan Permintaan Lintas Situs (CSRF)

Melihat lebih dekat sepuluh besar tahun ini dibandingkan dengan 2019 sepuluh kerentanan teratas, temuan utama meliputi:

  1. Pembuatan Skrip Lintas Situs kerentanan terus menjadi ancaman utama bagi aplikasi web karena penyerang yang mengeksploitasi serangan XSS dapat memperoleh kendali atas akun pengguna dan mencuri informasi pribadi seperti kata sandi, nomor rekening bank, informasi kartu kredit, informasi identitas pribadi (PII), nomor jaminan sosial, dan lebih. Kerentanan yang paling banyak mendapat penghargaan selama dua tahun berturut-turut, kerentanan XSS merugikan organisasi sebesar US $ 4.2 juta dalam total penghargaan bounty, naik 26% dari tahun sebelumnya. Bug ini menyumbang 18% dari semua kerentanan yang dilaporkan, tetapi hadiah rata-rata hanya US $ 501. Dengan harga rata-rata untuk kerentanan kritis sebesar US $ 3,650, ini berarti organisasi mengurangi bug umum yang berpotensi menyakitkan ini dengan harga murah.
  2. Kontrol Akses yang Tidak Tepat (naik dari tempat kesembilan pada tahun 2019) dan Informasi Pengungkapan (masih memegang tempat ketiga) tetap umum. Penghargaan untuk Kontrol Akses yang Tidak Tepat meningkat 134% dari tahun ke tahun menjadi lebih dari US $ 4 juta. Keterbukaan Informasi tidak jauh ketinggalan, meningkat 63% dari tahun ke tahun. Keputusan desain kontrol akses harus dibuat oleh manusia, bukan teknologi, dan potensi kesalahan tinggi, dan kedua kesalahan hampir tidak mungkin dideteksi menggunakan alat otomatis.
  3. SSRF kerentanan, yang dapat dieksploitasi untuk menargetkan sistem internal di belakang firewall, menunjukkan risiko migrasi cloud. Sebelumnya, bug SSRF cukup jinak dan menempati tempat ketujuh kami, karena mereka hanya mengizinkan pemindaian jaringan internal dan terkadang akses ke panel admin internal. Namun di era transformasi digital yang cepat ini, munculnya arsitektur cloud dan titik akhir metadata yang tidak terlindungi telah membuat kerentanan ini semakin kritis.
  4. SQL Injection menurun dari tahun ke tahun. Dianggap sebagai salah satu ancaman terburuk terhadap keamanan aplikasi web oleh OWASP dan lainnya, skala serangan injeksi SQL dapat menghancurkan, karena data sensitif, termasuk informasi bisnis, kekayaan intelektual, dan data pelanggan penting, disimpan di server basis data yang rentan terhadap serangan ini. . Di tahun-tahun sebelumnya, injeksi SQL adalah salah satu jenis kerentanan yang paling umum. Namun, data kami menunjukkan bahwa data telah turun dari tahun ke tahun dari kelima pada 2019 menjadi ketujuh pada 2020. Dengan menggeser keamanan ke kiri, organisasi memanfaatkan peretas dan metode lain untuk secara proaktif memantau permukaan serangan dan mencegah bug memasuki kode.

“Menemukan jenis kerentanan yang paling umum itu tidak mahal,” lanjut Han. “Dari 10 jenis kelemahan yang paling banyak mendapat penghargaan, hanya Kontrol Akses yang Tidak Tepat, Pemalsuan Permintaan Sisi Server (SSRF), dan Pengungkapan Informasi yang melihat penghargaan bounty rata-rata mereka naik lebih dari 10%. Yang lainnya turun dalam nilai rata-rata atau hampir datar. Tidak seperti alat dan metode keamanan tradisional, yang menjadi lebih mahal dan rumit saat tujuan berubah dan permukaan serangan meluas, keamanan yang didukung peretas sebenarnya lebih hemat biaya seiring berjalannya waktu. Dengan peretas, menjadi lebih murah untuk mencegah pelaku jahat mengeksploitasi bug yang paling umum. ”

Untuk Jenis Kerentanan HackerOne Teratas 10 Paling Berdampak dan Berhadiah - Edisi 2020, silakan kunjungi https://www.hackerone.com/top-10-vulnerabilities

Tentang HackerOne

HackerOne memberdayakan dunia untuk membangun internet yang lebih aman. Sebagai platform keamanan yang didukung peretas paling tepercaya di dunia, HackerOne memberi organisasi akses ke komunitas peretas terbesar di planet ini. Dipersenjatai dengan basis data paling kuat dari tren kerentanan dan tolok ukur industri, komunitas peretas mengurangi risiko dunia maya dengan mencari, menemukan, dan melaporkan dengan aman kelemahan keamanan dunia nyata untuk organisasi di semua industri dan permukaan serangan. Pelanggan termasuk Departemen Pertahanan AS, Dropbox, General Motors, GitHub, Goldman Sachs, Google, Hyatt, Intel, Lufthansa, Microsoft, MINDEF Singapura, Nintendo, PayPal, Qualcomm, Slack, Starbucks, Twitter, dan Verizon Media. HackerOne menduduki peringkat kelima dalam daftar Fast Company World Most Innovative Companies untuk tahun 2020. Berkantor pusat di San Francisco, HackerOne hadir di London, New York, Belanda, Prancis, Singapura, dan lebih dari 70 lokasi lain di seluruh dunia.

Metodologi

Edisi HackerOne Top 10 Most Impactful and Rewarded Vulnerability Type ini didasarkan pada data milik HackerOne yang memeriksa kelemahan keamanan yang diselesaikan pada platform HackerOne antara Mei 2019 dan April 2020. Kerentanan yang termasuk di sini dilaporkan oleh komunitas hacker melalui pengungkapan kerentanan dan publik dan pribadi program hadiah. Semua klasifikasi kerentanan dibuat atau dikonfirmasi oleh pelanggan HackerOne, termasuk jenis kelemahan, dampak, dan tingkat keparahan.

Catatan: taksonomi peringkat kerentanan, yang dipetakan HackerOne ke standar industri Common Weakness Enumeration, digunakan oleh pelanggan dan peretas HackerOne untuk mengkategorikan kerentanan yang dilaporkan. Data yang disajikan di sini adalah dari Mei 2019 hingga April 2020.

# # #