HackerOne漏洞赏金计划在2017年总共支付了1100万美元

更新时间:2018-08-06 11:29:59点击:192631 网络安全

根据HackerOne发布的2018年HackerOne安全报告显示,去年在HackerOne上提交过漏洞的白帽黑客们总共已经挣了超过1100万美元了。


在去年,HackerOne总共上线了大约1000个漏洞奖励计划,并从来自100多个国家的安全研究人员手中收到了超过72000份漏洞报告。从HackerOne成立到2018年6月份,HackerOne总共已经向研究人员支付了3100万美元。其中,有超过2500万美元的漏洞奖金是由美国境内的组织提供的。

根据HackerOne提供的数据,去年提交的116份漏洞报告就占掉了1万美金的奖金支出,公司给关键安全漏洞支付的平均漏洞奖金也已经增加到了2000美元,而像微软和英特尔这样的科技公司提供的漏洞奖金已经增加到了25万美元之多。

下图显示的是每一个行业为关键安全漏洞提供的平均漏洞奖金:

随着行业的发展,越来越多的公司开始推出自己的公开漏洞奖励计划了,但去年仍有将近80%的漏洞奖励计划是非公开的。大部分公开的漏洞奖励计划都是由科技公司发起的,这部分占了总数的63%。

在新增加的漏洞奖励计划中,政府部门发布的项目占了很大一部分,随着欧盟委员会和新加坡国防部都推出了自己的漏洞奖励计划之后,美国政府也推出了相应的漏洞奖励计划,例如他们会奖励那些成功入侵美国空军系统陆军系统的黑客。

根据报告的内容,去年上报的有效漏洞总数约为27000个,跨站脚本漏洞(XSS)仍然是最常见的安全漏洞类型,其次则是信息披露漏洞。

关于漏洞修复时间方面,消费品行业的平均漏洞修复时间是最短的,平均为14天。而与之相比,政府部门的平均漏洞修复时间就要长很多了,平均为68天。

去年支付的漏洞奖金最高为75000美元,这是一家科技公司给三个组合漏洞支付的漏洞奖金。据了解,攻击者可利用这三个漏洞组合成一条漏洞利用链,并在无需用户交互的情况下实现远程代码执行。一旦成功利用,攻击者将能够远程访问用户的信用卡数据,劫持用户账号和员工账号,访问基础设施代码,甚至发动大规模勒索软件攻击。

HackerOne提供的2018年Hacker-Powered安全报告完整版可以点击【这里】获取。