IMAGO/TACC 16 января. FINMARKET.RU — В 2024 г. белые хакеры обнаружили более 6000 уязвимостей в различных системах российских компаний и госучреждений. 1926 уязвимостей было обнаружено через платформу Standoff Bug Bounty (Positive Technologies), еще 4451 отчет о найденных уязвимостях был опубликован на платформе BI.Zone Bug Bounty. Об этом «Ведомостям» рассказали представители обеих компаний.
Как следует из отчета Positive Technologies, госсектор стал рекордсменом по числу отчетов о критически опасных уязвимостях: критической была каждая пятая уязвимость, выявленная в госсистемах.
В Минцифры уточнили, что в рамках второго этапа bug bounty с ноября 2023 г. по ноябрь 2024 г. багхантеры обнаружили около 280 уязвимостей в 10 госсистемах, рассказал «Ведомостям» представитель министерства. При этом большая часть из них — средней и низкой степени критичности, подчеркнул собеседник.
За найденные в госсистемах уязвимости специалисты получили выплаты почти на 12,7 млн руб. «У специалистов не было доступа к внутренним данным систем, они проверяли только внешний периметр, — уточнил представитель Минцифры. — При этом их работа контролировалась системами мониторинга, поэтому найденные уязвимости невозможно использовать для взлома».
Согласно отчету Positive Technologies Standoff Bug Bounty за период с ноября 2023 г. по ноябрь 2024 г., багхантеры выявили в прошлом году на 43% больше уязвимостей, чем в 2023 г. Сумма выплаченных вознаграждений исследователям за найденные в 2024 г. уязвимости составила 88,1 млн руб., а общая сумма выплат с момента запуска багбаунти-площадки в мае 2022 г. достигла 158 млн руб., говорится в отчете. Больше всех выплат за уязвимости, обнаруженные через платформу Positive Technologies, исследователям осуществили онлайн-сервисы: суммарно на них приходится 37% вознаграждений.
На второй багбаунти-платформе — от BI.Zone за 2024 г. был собран 4451 отчет о найденных уязвимостях, значимая часть из них приходится на финтех и IT, рассказал директор департамента анализа защищенности и противодействия мошенничеству компании Евгений Волошин. Около 500 присланных отчетов имеют критичность уровня «высокая» и выше. За 2024 г. сумма выплат независимым исследователям на платформе BI.Zone Bug Bounty составила 64 млн руб. Самые крупные выплаты пришлись на IT и финсектор.
Согласно отчету Positive Technologies, чаще всего багхантеры обнаруживали в российских системах уязвимости, связанные с контролем доступа (42%). Чаще всего такие ошибки находили в программах компаний электронной коммерции и финансовых и онлайн-сервисов. На 2-м месте по популярности оказались уязвимости, связанные с внедрением вредоносного кода (22%), за ними следуют архитектурные и логические ошибки (9%).
Источник: www.finmarket.ru
Свежие комментарии