HackerOne漏洞賞金支付超2.3億美元

漏洞賞金平臺HackerOne表示，道德黑客在2022年已發現并報告了超過6.5萬個軟件漏洞。

該黑客驅動的主流漏洞賞金平臺既服務于私營行業，也支持政府機構等公共部門，自成立以來已支付了2.3億美元的漏洞賞金。

截至目前，22名黑客通過HackerOne提交漏洞報告賺取了超過100萬美元的賞金，而2021年時賺到這個數目的黑客只有12名。

HackerOne在其最新年度報告中指出：“道德黑客報告的漏洞類型中，通常由數字轉型引入的漏洞增長最為顯著，錯誤配置類漏洞增長了150%，不當授權類漏洞增長了45%。”

HackerOne報告稱，修復總時間從35天增加到了37天。航空航天公司是修復最慢的，修復中位時間是148.3天，其次是醫療技術企業，修復中位時間為73.9天。加密貨幣和區塊鏈公司的修復速度最快，只需11.6天就能修復。

報告顯示：“有限的范圍會擋住50%的黑客，但響應速度慢和溝通不良是最有可能妨礙黑客報告漏洞的問題。”

HackerOne的數據表明，機構和企業需要設置有效的漏洞報告渠道，因為50%的黑客會由于受影響實體缺乏漏洞披露計劃而選擇不披露所發現的安全漏洞。另有12%的黑客則是因威脅性法律用語而望而卻步。

2022年，道德黑客憑借跨站腳本（XSS）漏洞賺到了最為豐厚的賞金，其次是不當訪問控制漏洞和信息披露漏洞。不安全直接對象引用（IDOR）和不當授權位列第四和第五。

報告還指出，95%的黑客專注挖掘網站中的漏洞，24%專盯各個云平臺。

HackerOne表示，漏洞賞金計劃采用率總體增長45%，制藥公司的增長率最高，為700%。汽車、電信、加密貨幣和區塊鏈行業的漏洞賞金計劃采用率也很高，分別增長了400%、156%和143%。