Российские хакеры заработали 158 000 000 на поиске уязвимостей

В Positive Technologies подвели итоги работы платформы Standoff Bug Bounty за 2024 год. По данным платформы, к концу года число зарегистрированных исследователей достигло 18 400, что почти вдвое превышает показатель 2023 года.

В течение 2024 года на платформе было принято 1926 отчетов об уязвимостях, что на 43% больше, чем годом ранее. Всего за 2024 год исследователи сдали 4658 отчетов, а общая сумма выплат достигла 158 миллионов рублей. Средний размер вознаграждения за принятый отчет вырос на 13%, составив 58 тысяч рублей.

Государственный сектор оказался лидером по числу критически опасных уязвимостей, на которые пришлось 19% от общего числа отчетов в этой отрасли. В финансовой сфере более двух третей уязвимостей высокого и критического уровня были связаны с нарушением контроля доступа, что обусловлено сложностью систем и многоуровневостью управления привилегиями.

Отчеты об уязвимостях высокого и критического уровня составили 31% от общего числа, что более чем вдвое превышает аналогичный показатель конкурирующих платформ, таких как HackerOne (15%). Руководитель платформы Анатолий Иванов отметил, что увеличение доли критически опасных уязвимостей подтверждает профессионализм исследователей и эффективность работы платформы. По его словам, увеличение выплат за такие уязвимости стимулирует сотрудничество, способствуя защите цифровой инфраструктуры компаний.

Наиболее распространёнными уязвимостями в 2024 году стали недостатки контроля доступа, составляя 42% от общего числа, из которых почти половина относилась к уязвимостям высокого и критического уровня. Эти проблемы чаще всего выявлялись в системах компаний электронной коммерции, финансовых учреждений и онлайн-сервисов. Второе место заняли уязвимости, связанные с внедрением вредоносного кода (22%), за которыми следовали архитектурные и логические ошибки (9%).

Компании, предоставляющие онлайн-сервисы, выплатили исследователям наибольшие суммы, суммарно составляя 37% всех вознаграждений. В этой отрасли средняя выплата за один отчет превысила 104 тысячи рублей, а за каждый десятый отчет выплата составила более 157 тысяч рублей.

Особенно щедрыми оказались программы финансовых сервисов, где за каждый десятый принятый отчет выплата достигала 190 100 рублей и более. За половину всех принятых отчетов вознаграждение превышало 20 тысяч рублей.

Максимальная выплата за одну найденную уязвимость в 2024 году составила 3,96 миллиона рублей и была произведена компанией VK, что на 39% больше аналогичного рекорда предыдущего года. За год 16 исследователей заработали на платформе более 1 миллиона рублей, а трое из них — свыше 7 миллионов.

На платформе было представлено 84 программы компаний из различных отраслей. Наибольшее число отчетов (26%) поступило от исследователей, изучавших инфраструктуру организаций сектора торговли и электронной коммерции. Среди лидеров оказались маркетплейсы Wildberries и Ozon, которые приняли более 600 и 300 отчетов соответственно, выплачивая исследователям 5,7 и 5,5 миллиона рублей.

Активность также наблюдалась в программах онлайн-сервисов, финансового сектора, медиа и развлечений, а также государственных учреждений.