HackerOne Bericht zeigt, dass Bug Bounty-Industrie und Bounty-Prämien weltweit an Beliebtheit gewinnen

Die sicherheitsbewusstesten Organisationen zahlen Hackern 50.000 USD Bug Bounties („Kopfgeld“ für Programmfehler) pro Monat und bis zu ​​900.000 USD pro Jahr für die Meldung unbekannter Sicherheitslücken

SAN FRANCISCO--()--HackerOne, der führende Anbieter für Bug Bounties und Sicherheitslücken-Offenlegungsplattformen, hat heute „The 2017 Hacker-Powered Security Report“ (Bericht zu durch Hacker bereitgestellter Sicherheit) veröffentlicht, der über 800 von Hackern bereitgestellte Programme von Organisationen wie Airbnb, GitHub, General Motors, Intel, Lufthansa, Nintendo, dem US-Verteidigungsministerium, Uber und viele mehr untersucht. Die Ergebnisse basieren auf fast 50.000 behobenen Sicherheitslücken und mehr als 17 Millionen USD an ausgezahlten Prämien -- der weltweit größte Plattform-Datensatz.

Angesichts Datendiebstählen, die durchschnittlich 4 Millionen USD Verluste weltweit ausmachen, und Ausfallzeiten durch Angriffe wie WannaCry, die über 8 Milliarden USD Kosten verursachen, arbeiten die sicherheitsbewusstesten Organisationen mit Hackern, um unbekannte Sicherheitslücken zu finden. Durch Hacker bereitgestellte Sicherheit bietet eine Möglichkeit, wichtige Sicherheitslücken schneller zu identifizieren und die Kreativität der weltweit größten ethischen Hacker-Community zu nutzen. Die Berichtsdaten zeigen, dass Hacker schwerwiegende Sicherheitslücken finden und dafür bezahlt werden, wobei 32 Prozent der behobenen Sicherheitslücken als sehr bis kritisch schwerwiegend eingestuft werden und Top-Belohnungen für einen einzelnen Bericht bei bis zu 30.000 USD liegen können.

Hacker in über 90 Ländern verdienen sich so Bounty-Prämien. Die wettbewerbsfähigsten Organisationen zahlen Hackern fast 900.000 USD pro Jahr, wobei kritische Sicherheitslücken mit durchschnittlich 1.923 USD bezahlt werden. In den letzten 12 Monaten betrugen 88 einzelne Bug Bounty-Prämien über 10.000 USD.

„Durch Hacker bereitgestellte Sicherheitsprogramme sind unbestreitbar effektiv bei der Suche nach Sicherheitslücken, denen sich Organisationen nie bewusst waren“, sagte Alex Rice, CTO und Gründer, HackerOne. „Der Bericht zeigt den Erfolg dieser Programme und die vielfältigen Fähigkeiten der globalen Hacker-Community, die fast 50.000 Sicherheitslücken behoben hat.“

Wichtige Ergebnisse des 2017 Hacker-Powered Security Report:

  • Bug Bounties sind nicht nur für Technologie-Unternehmen geeignet. Über die Hälfte der Bug Bounty-Programme im Jahr 2016 wurde von Technologie-Unternehmen gestartet, aber 41 Prozent stammen aus anderen Branchen. Vertikale Branchen, die ein signifikantes Wachstum im Jahresvergleich aufweisen, sind u. a. Regierungsbehörden, wie das US-Verteidigungsministerium, Medien und Unterhaltung, Finanzdienstleistungen und Banken sowie E-Commerce und Einzelhandel.
  • Die Sicherheitsreaktionseffizienz der Kunden verbessert sich: Die durchschnittliche Zeit bis zur ersten Reaktion auf Sicherheitsprobleme beträgt 6 Tage im Jahr 2017, verglichen mit 7 Tagen im Jahr 2016. E-Commerce- und Einzelhandelsorganisationen beheben Sicherheitsprobleme in vier Wochen und sind somit durchschnittlich die schnellsten.
  • Reaktionsschnelle Programme ziehen Spitzenhacker an. Programme, die am schnellsten bei der Anerkennung, Validierung und Behebung von eingereichten Sicherheitslücken sind, sind die attraktivsten für Hacker. Treue ist wichtig – die Mehrheit der gültigen Berichte ist „Stamm-Hackern“ zu verdanken.
  • Bounty-Zahlungen steigen. Die durchschnittliche Bounty-Prämie für Hacker für eine kritische Sicherheitslücke beträgt 1.923 USD im Jahr 2017, im Vergleich zu ​​1.624 USD im Jahr 2015 – ein Anstieg von 16 Prozent. Die leistungsstärksten Bug Bounty-Programme zahlen Hackern im Durchschnitt 50.000 USD pro Monat und einige zahlen rund 900.000 USD pro Jahr.
  • Offenlegungsrichtlinien für Sicherheitslücken. Trotz erhöhter Bug Bounty-Programm-Annahme und -Empfehlungen von Bundesbehörden haben 94 Prozent der Top-Börsenunternehmen noch keine bekannte Offenlegungspolitik für Sicherheitslücken, und zwar schon seit 2015.

Der maßgeblichste Bericht über Bug Bounties und von Hackern bereitgestellte Sicherheit

Der 2017 Hacker-Powered Security Report untersucht Daten, die von über 800 Bug Bounty- und Sicherheitslücken-Offenlegungsprogrammen auf der ganzen Welt gesammelt wurden. Der Bericht enthält die Analyse von fast 50.000 Sicherheitslücken aus über 13 Branchen, sowie Einblicke von mehr als 600 Kunden und über 100.000 registrierten Hackern. HackerOne analysiert auch Daten zur Sicherheitslücken-Offenlegungspolitik aus den Forbes Global 2000, um besser die Annahme von Hacker-bereitgestellter Sicherheit zu verstehen. Der 2017 Hacker-Powered Security Report basiert auf dem umfangreichsten Plattform-Datensatz und bietet Einblicke in die Annahmerate von Bug Bounties, Preisstrategien, Hacker-Motivationen und vieles mehr.

Der vollständige Bericht ist abrufbar unter: https://www.hackerone.com/resources/hacker-powered-security-report

Über HackerOne

HackerOne ist die beste von Hackern bereitgestellte Sicherheitsplattform, die Organisationen mit der weltweit größten Community von vertrauenswürdigen Hackern verbindet. Mehr als 800 Organisationen, darunter das US-Verteidigungsministerium, General Motors, Uber, Twitter, GitHub, Nintendo, Kaspersky Lab, Panasonic Avionics, Qualcomm, Square, Starbucks, Dropbox und das CERT Coordination Center vertrauen HackerOne, um kritische Software-Sicherheitslücken zu finden, bevor ihnen Kriminelle zuvorkommen. HackerOne-Kunden haben fast 50.000 Sicherheitslücken behoben und mehr als 17 Mio. USD Bug Bounties ausgezahlt. HackerOne hat seinen Hauptsitz in San Francisco und verfügt über Niederlassungen in London und den Niederlanden.

Die Ausgangssprache, in der der Originaltext veröffentlicht wird, ist die offizielle und autorisierte Version. Übersetzungen werden zur besseren Verständigung mitgeliefert. Nur die Sprachversion, die im Original veröffentlicht wurde, ist rechtsgültig. Gleichen Sie deshalb Übersetzungen mit der originalen Sprachversion der Veröffentlichung ab.

Contacts

HackerOne
Lauren Koszarek
lauren@hackerone.com
oder
Bateman Group
Margaret Pack, 619-609-3919
hackerone@bateman-group.com

Contacts

HackerOne
Lauren Koszarek
lauren@hackerone.com
oder
Bateman Group
Margaret Pack, 619-609-3919
hackerone@bateman-group.com