Il gruppo HackerOne ha svelato i risultati della sua enorme caccia alle falle di sicurezza

0
52
Questo post è stato pubblicato da this site
(foto: Sergei KonkovTASS via Getty Images)

HackerOne ha pubblicato un’enorme quantità di dati, in formato anonimo, per mostrare l’ampiezza del suo programma di bug bounty, ovvero la caccia ai bug messa in piedi dalla stessa startup di San Francisco per aiutare compagnie anche molto grandi (fra gli altri, appaiono i nomi di Sony e Intel) a risolvere i loro problemi di cybersecurity.

I dati mostrano come l’immenso esercito digitale di 300mila hacker etici al soldo di HackerOne – che hanno guadagnato scoprendo e risolvendo le falle delle aziende – abbia raccolto oltre 120mila (e continuano ad aumentare) informazioni su vulnerabilità legate a più di 1400 programmi di ogni tipo.

Per la prima volta quindi, la società, mostra le 10 vulnerabilità più diffuse che hanno fruttato agli hacker che le hanno scovate un bottino di circa 29 milioni di dollari.

volume totale del report per tipo di debolezza. Le percentuali rappresentano il volume dei report, Colore mostra la gravità media del tipo di vulnerabilità (fonte: HackerOne)

HackerOne sponsorizza infatti il programma di bug bounty come mezzo per identificare in sicurezza le minacce informatiche, prevenendo anziché curando. Così facendo, gli hacker etici compiono le violazioni per individuare le vulnerabilità di sistema e riportarle a chi di dovere.

Dei 10 principali bug riportati da HackerOne, gli attacchi cross-site scripting (Xss), in cui script dannosi vengono iniettati in altri siti attendibili, rimangono la principale vulnerabilità segnalata attraverso il programma. La risoluzione di tali attacchi ha fruttato, da sola, un totale di 7,7 milioni di dollari ai cacciatori di bug.

È una delle migliori difese che si possa avere”, ha affermato Miju Han, direttore del product management di HackerOne, a Gizmodo.

Il programma di bug bounty però ha i suoi limiti. In alcuni casi, come ad esempio quello del Dipartimento della Difesa degli Stati Uniti, il programma impone un limite ai bersagli hackerabili che impedisce agli hacker di compiere le violazioni verso i bersagli al di fuori di quella lista.

Tale programma, va aggiunto, non può sostituire le misure preventive né i test di penetrazione sui quali molte aziende fanno affidamento per proteggere i loro sistemi informatici. Il bug bounty è solo – si fa per dire – un ottimo sistema per rivelare le vulnerabilità e lavorare sulla creazione di patch per risolverle.

 

The post Il gruppo HackerOne ha svelato i risultati della sua enorme caccia alle falle di sicurezza appeared first on Wired.