A HackerOne anunciou que seus programas de recompensa por bugs concederam mais de US$ 300 milhões (cerca de R$ 1,5 mi) em recompensas a hackers éticos e pesquisadores de vulnerabilidades desde o início da plataforma.
Recompensas a Hackers éticos
Trinta hackers ganharam mais de US$ 1 milhão (cerca de R$ 4,98 mi) por seus envios, e um quebrou o recorde, recebendo mais de US$ 4 milhões (cerca de R$ 19,9 mi) por seus relatórios de bugs desde o início do programa de recompensas.
Fundada há mais de uma década, a HackerOne é uma plataforma de recompensas por bugs que conecta organizações a uma comunidade de hackers éticos que identificam e relatam vulnerabilidades e pontos fracos em software em troca de uma recompensa. Essencialmente, é uma plataforma de coordenação de divulgação e hospedagem de recompensas de bugs que permite às empresas gerenciar relatórios e resolver problemas identificados prontamente, garantindo pagamentos aos repórteres.
Este ano, as organizações demoraram em média 25,5 dias para finalizar a correção dos bugs relatados, uma melhoria de 28% em relação ao ano passado. A HackerOne lançou seu “2023 Hacker-Power Security Report”, compartilhando insights sobre as tendências deste ano.
A empresa destacou que as entidades criptográficas e blockchain continuam a receber a maior atenção dos hackers éticos, alimentadas pela promessa dos maiores pagamentos. Este ano, a maior recompensa paga foi de US$ 100.050 por uma empresa de criptografia. O preço médio de um bug na plataforma é de US$ 500 (cerca de R$ 2,48 mil) este ano e chega a US$ 3.000 (cerca de R$ 14,9) no percentil 90 (10% mais alto).
Para falhas críticas e de alta gravidade, o pagamento médio é de US$ 3.700 (cerca de R$ 18,4 mil) em todos os setores e chega a US$ 12.000 (cerca de R$ 59,7 mil) no percentil 90. De acordo com a HackerOne, a caça tradicional a bugs não é a única atividade na plataforma, já que os compromissos de pen-testing aumentaram 54% este ano.
A IA é uma ajuda e um alvo
Mais da metade dos hackers éticos que participam dos programas HackerOne relatam usar IA generativa de alguma forma, incluindo escrever relatórios melhores, escrever códigos e reduzir barreiras linguísticas. 61% deles relatam planejar usar IA generativa para encontrar mais vulnerabilidades, e 55% relatam esperar que as próprias ferramentas de IA se tornem um alvo significativo nos próximos anos.
Os caçadores de recompensas estão divididos em prever se a IA levará a produtos de software mais seguros ou a um aumento nas vulnerabilidades. Outras opiniões registradas no relatório incluem motivação e fatores desencorajadores, com recompensas desempenhando o maior papel (73%) na participação, seguidas por uma abundância de falhas (50%), oportunidade de aprender (45%), escopo variado (46%) e pagamentos rápidos (42%).
Por outro lado, as coisas que afastam os hackers de um programa incluem tempos de resposta lentos (60%), escopo limitado (58%), comunicação deficiente (55%), recompensas baixas (48%) e avaliações negativas (44%). Para aqueles interessados ????em se envolver no programa de recompensas de bugs do HackerOne, você pode navegar no diretório de empresas para saber o que está disponível para encontrar bugs.