Эксперты подвели итоги работы платформы Standoff Bug Bounty за 2024 год[1]. Крупнейшая отечественная багбаунти-площадка, запущенная компанией Positive Technologies в мае 2022 года, продолжает помогать организациям в России укреплять кибербезопасность. К концу 2024-го количество зарегистрированных на платформе исследователей достигло 18 400, увеличившись по сравнению с уровнем прошлого года более чем в два раза.
За 2024 год на платформе было принято 1926 отчетов об уязвимостях — это на 43% больше, чем за 2023-й. Всего багхантеры сдали 4658 отчетов. Общая сумма вознаграждений, выплаченных исследователям с момента запуска Standoff Bug Bounty, достигла 158 миллионов рублей. При этом средняя выплата за принятый отчет выросла на 13%, составив 58 тысяч рублей.
Госсектор в рекордсменах
Государственный сектор стал рекордсменом по числу отчетов о критически опасных уязвимостях — 19% от общего числа отчетов в этой отрасли. В финансовой сфере среди всех найденных уязвимостей высокого и критического уровня опасности более двух третей вызваны нарушением контроля доступа, что связано с высокой сложностью систем и многоуровневыми механизмами управления привилегиями.
В 2024 году доля отчетов об уязвимостях высокого и критического уровня опасности составила 31% от общего числа, что более чем в два раза превышает средние показатели конкурирующих платформ, таких как HackerOne (15%).
«Доля отчетов о критически опасных уязвимостях увеличилась до 12%, — отметил Анатолий Иванов, руководитель Standoff Bug Bounty. — Это свидетельствует о профессионализме пользователей платформы и эффективности работы Standoff Bug Bounty. Увеличение объема выплат, особенно за высокоопасные уязвимости, мотивирует исследователей сотрудничать, что в итоге помогает сделать цифровую инфраструктуру компаний более защищенной. Наша платформа продолжает служить мостом между бизнесом и сообществом белых хакеров, предлагая уникальные возможности для защиты IT-инфраструктуры и развития кибербезопасности на глобальном уровне».
Какие уязвимости обнаружили
Наиболее часто исследователи обнаруживали уязвимости, связанные с недостатками контроля доступа (42%). К ним относится почти половина уязвимостей высокого и критического уровня опасности. В основном такие ошибки находили в программах компаний электронной коммерции, финансовых и онлайн-сервисов. На втором месте оказались уязвимости, связанные с внедрением вредоносного кода (22%), за ними следуют архитектурные и логические ошибки (9%).
Компании, предоставляющие (или разрабатывающие) онлайн-сервисы, выплатили белым хакерам больше, чем организации других отраслей: суммарно на них приходится более трети (37%) вознаграждений. В этой же сфере исследователи получали наибольшие средние выплаты — более 104 тысяч рублей за один отчет, а десятая часть вознаграждений в отрасли составляла более 157 тысяч рублей.
Стабильно щедрые вознаграждения назначали в рамках программ финансовых сервисов. За каждый десятый принятый отчет выплата составила 190 100 рублей или больше. За половину всех принятых отчетов исследователи получали выплаты более 20 тысяч рублей.
Максимальная выплата за одну найденную уязвимость в 2024 году была сделана VK и составила рекордные 3,96 миллиона рублей, что на 39% больше, чем в предыдущем году. 16 багхантерам за этот год удалось заработать более 1 миллиона рублей, из которых трем исследователям — более 7 миллионов.
В 2024 году на Standoff Bug Bounty было доступно 84 программы компаний из различных отраслей. Наибольшее количество отчетов (26%) поступило от исследователей, изучавших инфраструктуру организаций из сектора торговли и электронной коммерции. Лидирующие позиции здесь заняли маркетплейсы Wildberries (принято более 600 отчетов, общая сумма вознаграждений составила 5,7 миллиона рублей) и Ozon (принято не менее 300 отчетов, а выплаты исследователям превысили 5,5 миллиона рублей).
Кроме того, высокий уровень активности наблюдался в программах онлайн-сервисов, финансового сектора, сферы медиа и развлечений, а также госучреждений.
[1] В исследовании приводятся данные по состоянию на 30 ноября 2024 года.
