abril 07, 2021

[Segurança] Raio X do mercado de Bug Bounty

No início de março a HackerOne lançou a nova versão de seu The 2021 Hacker Report, um relatório que descreve o mercado de Bug Bounty, do ponto de vista da HackerOne.


Veja algumas informações interessantes do relatório, que traça um perfil da comunidade de hackers e pesquisadores que participam dos programas de Bug Bounty gerenciados pela HackerOne:
  • Houve um aumento de 63% no número de hackers que enviaram vulnerabilidades válidas na HackerOne no ano passado, que atingiu mais de 1 milhão de hackers registrados na plataforma;
  • Os hackers ganharam US$ 40 milhões apenas em 2020. Nove participantes ganharam mais de 1 milhão de dólares desde 2019, e um pesquisador ultrapassou a marca de US$ 2 milhões em 2020;
  • A maioria (82%) da comunidade se define como hackers em tempo parcial e 35% mantêm um emprego em tempo integral;
  • 55% da comunidade possui menos de 25 anos;
  • A maior motivação, 85%, é de aprender e expandir suas habilidades. 76% são motivados pelas recompensas, 62% participam com objetivo de avançar em suas carreiras. Os hackers também são motivados pelo desejo de fazer o bem, com 47% hackeando para proteger e defender empresas e indivíduos de ameaças cibernéticas;
  • Das 10 principais vulnerabilidades, a categoria de "divulgação de informações" ("information disclosure") teve o maior aumento em envios válidos, com um crescimento de 65% comparado com o ano passado. Embora ainda não seja uma das dez principais vulnerabilidades relatadas, os relatórios de configuração incorreta aumentaram 310% em 2020, impulsionados pela mudança para a nuvem provocada pela pandemia.

O relatório também discute um pouco o impacto da pandemia do Coronavírus no mercado de Bug Bounty:
  • 38% dos pesquisadores passaram mais tempo hackeando desde o início da pandemia;
  • 34% ganharam mais recompensas;
  • 34% dos hackers disseram que viram mais bugs como resultado da transformação digital provocada pela pandemia.
Para saber mais:

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.