Активизация хакеров в период пандемии COVID-19 заставило компании увеличить вознаграждение за сообщения об уязвимостях.

За последние 12 месяцев как минимум на одной краудсорсинговой платформе существенно увеличилось число сообщений о новых уязвимостях. Количество сообщений от исследователей безопасности о критических уязвимостях достигло рекордных показателей.

Хотя данные взяты конкретно с платформы Bugcrowd, они отражают текущий тренд, а именно – за последний год, когда из-за пандемии организации массово перевели свою работу в режим online, этические хакеры стали обнаруживать больше критических проблем путем эксплуатации связок уязвимостей и использования PoC-эксплоитов.

Как сообщает Bugcrowd, компании из сферы потребительских услуг и медиаиндустрии получают отчеты о критических уязвимостях менее чем за день. Организации государственного и автомобилестроительного секторов получают сообщения о критических уязвимостях в течение нескольких дней.

В нынешнем году количество отчетов об уязвимостях, поданных через платформу Bugcrowd, увеличилось на рекордные 50%, а число отчетов о критических проблемах – на 65%.

В приоритете у хакеров по-прежнему остаются web-приложения, однако они также пытаются вносить разнообразие в круг атакуемых целей для поддержания конкурентоспособности.

«За последний год Bugcrowd наблюдала рост числа отчетов об уязвимостях во всех мишенях (хакеров – ред.), однако, в частности, количество уязвимостей в API удвоилось, а количество уязвимостей в Android увеличилось более чем в три раза», – сообщается в блоге Bugcrowd.

В период с января по октябрь 2020 года число отчетов об уязвимостях в финансовых сервисах превысило показатель за весь 2019 год. Во втором квартале количество сообщений о критических уязвимостях в данном секторе удвоилось.

За время пандемии хакеры существенно активизировались, что заставило компании увеличить вознаграждение за сообщения об уязвимостях. Во втором квартале сумма вознаграждений за сообщения о критических уязвимостях в среднем увеличилась на 31% по сравнению с первым кварталом.

Источник: securitylab