Các tổ chức đã trả cho các hacker “mũ trắng” 23.5 triệu đô la Mỹ cho 10 lỗ hổng bảo mật mạng hàng đầu trong một năm theo HackerOne

Ảnh của Markus Spiske trên Bapt

Tóm tắt của người biên tập: Một số trong 10 lỗ hổng bảo mật mạng hàng đầu, chẳng hạn như tập lệnh trang web chéo (XSS) và chèn SQL, vẫn nằm trong tầm ngắm của hầu hết các CISO và người thực hiện. Đối với mọi trang web hoặc ứng dụng được bảo trì kém, những lỗ hổng này và nhiều lỗ hổng hàng đầu có thể dễ dàng làm tê liệt chúng và khiến chúng ngoại tuyến hoặc dễ trở thành thây ma cho những kẻ xâm nhập tận dụng tài nguyên hệ thống và máy chủ cho các mục đích bất chính khác. Theo HackerOne, các tổ chức đã trả 23.5 triệu đô la Mỹ cho các hacker “mũ trắng” hoặc có đạo đức để xác định các lỗ hổng này trước khi kẻ xấu tìm thấy chúng, từ đó giữ an toàn cho các trang web và ứng dụng. Dưới đây là bản phát hành của nhà cung cấp.

Các tổ chức đã trả cho tin tặc 23.5 triệu đô la Mỹ cho 10 lỗ hổng này trong một năm

Báo cáo của HackerOne tiết lộ kịch bản trên nhiều trang web, kiểm soát truy cập không đúng cách và công bố thông tin danh sách hàng đầu về các lỗ hổng phổ biến nhất và có tác động

SINGAPORE, @mcgallen #microwirethông tin, ngày 30 tháng 2020 năm XNUMX - Trong thời điểm không chắc chắn, bảo mật trở thành một ưu tiên cấp bách hơn bao giờ hết. Cổ phần rất cao: các tổ chức đang phụ thuộc vào công nghệ hơn bao giờ hết và bất kỳ ai dựa vào công nghệ đều có thể mất mọi thứ trong một vụ vi phạm dữ liệu. Nhưng một số lỗ hổng gần đây nhất có một điểm chung: chúng được phát hiện, phát hiện và báo cáo bởi những tin tặc thân thiện, những người có thể nghĩ như những kẻ tấn công.

“Năm nay, các tổ chức trên toàn thế giới buộc phải chuyển sang kỹ thuật số với các sản phẩm và dịch vụ của họ,” Miju Han, Giám đốc cấp cao của HackerOne về Quản lý Sản phẩm cho biết. “Các doanh nghiệp tranh nhau tìm kiếm các dòng doanh thu mới, tạo ra các dịch vụ kỹ thuật số cho những khách hàng có lối sống đã thay đổi đáng kể. Hàng chục triệu công nhân bắt đầu làm việc từ xa cho dù họ đã sẵn sàng hay chưa. Với tốc độ chuyển đổi kỹ thuật số ngày càng nhanh này, các CISO phải nhanh chóng tạo điều kiện cho các nhu cầu mới đồng thời đảm bảo tính bảo mật của các hệ thống hiện có. Đối mặt với những trở ngại này, các nhà lãnh đạo bảo mật đã đạt được sự đánh giá cao mới đối với bảo mật do hacker cung cấp như một giải pháp nhanh nhẹn, có thể mở rộng và hiệu quả về chi phí để tăng cường nguồn lực của chính họ và đưa ra phương pháp trả tiền cho kết quả hợp lý hơn trong điều kiện ngân sách thắt chặt. "

HackerOne duy trì cơ sở dữ liệu có thẩm quyền nhất về các lỗ hổng trong ngành. Với hơn 200,000 lỗ hổng bảo mật hợp lệ được tin tặc tìm thấy, HackerOne đã xem xét dữ liệu này để thu thập thông tin chi tiết từ 10 loại lỗ hổng hàng đầu có tác động và được thưởng nhiều nhất.

Top 10 loại lỗ hổng có ảnh hưởng và được khen thưởng nhiều nhất của HackerOne năm 2020, theo thứ tự giảm dần, là:

  1. Viết kịch bản chéo trang (XSS)
  2. Kiểm soát truy cập không phù hợp
  3. Công bố thông tin
  4. Yêu cầu phía máy chủ giả mạo (SSRF)
  5. Tham chiếu đối tượng trực tiếp không an toàn (IDOR)
  6. Nâng cao đặc quyền
  7. SQL Injection
  8. Xác thực không đúng
  9. Chèn mã
  10. Yêu cầu trên nhiều trang web giả mạo (CSRF)

Xem xét kỹ hơn top XNUMX năm nay so với 2019 mười lỗ hổng hàng đầu, những phát hiện chính bao gồm:

  1. Viết kịch bản trên nhiều trang web lỗ hổng bảo mật tiếp tục là mối đe dọa lớn đối với các ứng dụng web vì những kẻ tấn công khai thác các cuộc tấn công XSS có thể giành quyền kiểm soát tài khoản của người dùng và đánh cắp thông tin cá nhân như mật khẩu, số tài khoản ngân hàng, thông tin thẻ tín dụng, thông tin nhận dạng cá nhân (PII), số an sinh xã hội và hơn. Lỗ hổng bảo mật được trao giải thưởng nhiều nhất trong hai năm hoạt động, lỗ hổng XSS khiến các tổ chức tiêu tốn 4.2 triệu đô la Mỹ trong tổng số tiền thưởng, tăng 26% so với năm trước. Những lỗi này chiếm 18% tổng số lỗ hổng được báo cáo, nhưng phần thưởng trung bình chỉ là 501 đô la Mỹ. Với tiền thưởng trung bình cho một lỗ hổng nghiêm trọng là 3,650 đô la Mỹ, điều này có nghĩa là các tổ chức đang giảm thiểu lỗi phổ biến, có khả năng gây đau đớn này với giá rẻ.
  2. Kiểm soát truy cập không phù hợp (tăng từ vị trí thứ chín vào năm 2019) và Công bố thông tin (vẫn giữ vị trí thứ ba) vẫn phổ biến. Giải thưởng cho Kiểm soát truy cập không phù hợp đã tăng 134% so với cùng kỳ năm ngoái lên chỉ hơn 4 triệu đô la Mỹ. Công bố thông tin không bị bỏ xa, tăng 63% so với cùng kỳ năm ngoái. Các quyết định thiết kế kiểm soát truy cập phải được thực hiện bởi con người chứ không phải công nghệ và khả năng xảy ra lỗi rất cao và cả hai lỗi gần như không thể phát hiện bằng các công cụ tự động.
  3. SSRF các lỗ hổng, có thể bị khai thác để nhắm vào các hệ thống nội bộ đằng sau tường lửa, cho thấy nguy cơ di chuyển đám mây. Trước đây, lỗi SSRF khá lành tính và giữ vị trí thứ bảy của chúng tôi, vì chúng chỉ cho phép quét mạng nội bộ và đôi khi truy cập vào bảng quản trị nội bộ. Nhưng trong kỷ nguyên chuyển đổi kỹ thuật số nhanh chóng này, sự ra đời của kiến ​​trúc đám mây và các điểm cuối siêu dữ liệu không được bảo vệ đã khiến những lỗ hổng này ngày càng trở nên nghiêm trọng.
  4. SQL Injection đang giảm so với năm trước. Được OWASP và các tổ chức khác coi là một trong những mối đe dọa tồi tệ nhất đối với bảo mật ứng dụng web, quy mô của các cuộc tấn công SQL injection có thể rất tàn khốc, vì dữ liệu nhạy cảm, bao gồm thông tin doanh nghiệp, tài sản trí tuệ và dữ liệu khách hàng quan trọng, được lưu trữ trên các máy chủ cơ sở dữ liệu dễ bị tấn công . Trong những năm trước đây, SQL injection là một trong những loại lỗ hổng phổ biến nhất. Tuy nhiên, dữ liệu của chúng tôi chỉ ra rằng nó đã giảm qua từng năm từ thứ năm trong năm 2019 xuống thứ bảy vào năm 2020. Bằng cách chuyển sang trái bảo mật, các tổ chức đang tận dụng tin tặc và các phương pháp khác để chủ động theo dõi các bề mặt tấn công và ngăn chặn lỗi xâm nhập mã.

“Việc tìm kiếm các loại lỗ hổng phổ biến nhất không tốn kém,” Han tiếp tục. “Trong số 10 loại điểm yếu được trao giải nhiều nhất, chỉ có Kiểm soát truy cập không phù hợp, Truy vấn yêu cầu phía máy chủ (SSRF) và Tiết lộ thông tin đã thấy phần thưởng tiền thưởng trung bình của họ tăng hơn 10%. Các mã còn lại giảm về giá trị trung bình hoặc gần như đi ngang. Không giống như các công cụ và phương pháp bảo mật truyền thống, trở nên đắt tiền và cồng kềnh hơn khi mục tiêu thay đổi và bề mặt tấn công mở rộng, bảo mật do hacker cung cấp thực sự tiết kiệm chi phí hơn theo thời gian. Với tin tặc, việc ngăn chặn những kẻ xấu khai thác các lỗi phổ biến nhất trở nên ít tốn kém hơn. "

Để có đầy đủ Top 10 loại lỗ hổng bảo mật và có tác động mạnh nhất của HackerOne - Phiên bản 2020, vui lòng truy cập https://www.hackerone.com/top-10-vulnerabilities

Giới thiệu về HackerOne

HackerOne trao quyền cho thế giới để xây dựng một Internet an toàn hơn. Là nền tảng bảo mật do tin tặc cung cấp đáng tin cậy nhất thế giới, HackerOne cung cấp cho các tổ chức quyền truy cập vào cộng đồng tin tặc lớn nhất hành tinh. Được trang bị cơ sở dữ liệu mạnh mẽ nhất về xu hướng lỗ hổng bảo mật và tiêu chuẩn ngành, cộng đồng hacker giảm thiểu rủi ro mạng bằng cách tìm kiếm, phát hiện và báo cáo an toàn các điểm yếu bảo mật trong thế giới thực cho các tổ chức trong tất cả các ngành và các bề mặt tấn công. Khách hàng bao gồm Bộ Quốc phòng Hoa Kỳ, Dropbox, General Motors, GitHub, Goldman Sachs, Google, Hyatt, Intel, Lufthansa, Microsoft, MINDEF Singapore, Nintendo, PayPal, Qualcomm, Slack, Starbucks, Twitter và Verizon Media. HackerOne được xếp hạng thứ năm trong danh sách Các công ty đổi mới nhất thế giới của Fast Company vào năm 2020. Trụ sở chính tại San Francisco, HackerOne có mặt tại London, New York, Hà Lan, Pháp, Singapore và hơn 70 địa điểm khác trên toàn cầu.

Phương pháp luận

Phiên bản này của HackerOne Top 10 loại lỗ hổng có tác động mạnh nhất và được khen thưởng dựa trên dữ liệu độc quyền của HackerOne kiểm tra các điểm yếu bảo mật được giải quyết trên nền tảng HackerOne trong khoảng thời gian từ tháng 2019 năm 2020 đến tháng XNUMX năm XNUMX. Các lỗ hổng bao gồm ở đây đã được cộng đồng hacker báo cáo thông qua tiết lộ lỗ hổng và công khai và riêng tư chương trình tiền thưởng. Tất cả các phân loại lỗ hổng đều được thực hiện hoặc xác nhận bởi khách hàng của HackerOne, bao gồm loại điểm yếu, tác động và mức độ nghiêm trọng.

Lưu ý: phân loại tính dễ bị tổn thương, mà HackerOne ánh xạ tới Bảng kê điểm yếu chung theo tiêu chuẩn ngành, được khách hàng và tin tặc của HackerOne sử dụng để phân loại các lỗ hổng được báo cáo. Dữ liệu được trình bày ở đây là từ tháng 2019 năm 2020 đến tháng XNUMX năm XNUMX.

# # #