Los piratas informáticos informaron un 21% más de vulnerabilidades en 2021 que en 2020

HackerOne informa que los piratas informáticos están informando más errores y obteniendo mayores recompensas, pero ¿es un aumento en las pruebas o un aumento en las vulnerabilidades del software la causa del salto?

Solo quiere ayudarte a encontrar tus errores.

Imagen: Shutterstock / Krakenimages.com

El centro de recompensas de errores HackerOne ha anunciado que su base de usuarios de piratas informáticos independientes de caza de recompensas ha informado de la friolera de 66.000 vulnerabilidades verificadas en 2021, un aumento del 20% con respecto al total del año pasado. ¿Qué, exactamente, podría estar causando tal aumento este año, cuando el último fue el año real de incertidumbre y caos inducido por COVID?

Además del aumento en la cantidad de errores verificados, el informe de HackerOne también encontró que la recompensa media pagada por un error crítico (calificado con la escala CVSS) aumentó en un 13% y en un 30% para los errores calificados de «alta gravedad». que es un paso por debajo del crítico.

VER: Violación de contraseña: por qué la cultura pop y las contraseñas no se mezclan (PDF gratuito) (TechRepublic)

En correspondencia con una mayor detección de errores y mayores pagos, la cantidad de lo que HackerOne llama «programas de seguridad impulsados ​​por piratas informáticos» creció un 34% en 2021, con el mayor crecimiento en las industrias de aviación / aeroespacial, tecnología médica y gobierno. HackerOne también señaló que el uso de seguridad basada en piratas informáticos en la industria de servicios financieros continúa creciendo en un 62% (el cuarto más grande), lo que, según dijo, se espera porque «fuera de las industrias tecnológicas centrales, [financial services] tiende a liderar el camino con soluciones de seguridad ágiles y con visión de futuro «.

¿Qué tipo de errores se están encontrando?

Conocer el tipo de errores que se encuentran es una parte importante de la creación de un problema de seguridad preparado para responder al tipo de cosas que son tendencia en el mundo de la seguridad.

Según la investigación de HackerOne, las vulnerabilidades de secuencias de comandos entre sitios siguen siendo las más descubiertas de 2020 a 2021, con un aumento del 7% año tras año. La divulgación de información aumentó 58% interanual, lo que provocó un aumento del tercer al segundo lugar. Desplazó el control de acceso inadecuado, que se deslizó a la tercera.

Sin embargo, la amenaza más peligrosa de este año han sido los errores de lógica empresarial, que aumentaron un 67% interanual para ingresar al top 10 por primera vez en los cinco años que HackerOne ha publicado su informe.

Los errores de lógica empresarial son formas en que los atacantes hacen un mal uso de funciones legítimas en un sitio en detrimento del propietario del sitio. Ejemplos de esto incluyen cosas como cancelar una compra lo suficientemente rápido como para que no se le cobre, pero aún así ganar puntos de fidelidad asociados con una compra; o inyectar precios más bajos en los objetos de un carrito de comercio electrónico al abusar de la forma en que el sitio maneja su lógica de precios. Estos errores no son tanto una forma de romper sistemas, sino más bien una forma de abusar del diseño de un sitio legítimo, pero deficiente.

¿Hay más errores o solo más informes?

La pregunta central de este informe, si la cantidad de errores en el software está aumentando o no, o si los errores existentes se encuentran con mayor frecuencia debido al aumento de la popularidad del programa de recompensas de errores, no puede responderse definitivamente sin información adicional. Me comuniqué con HackerOne para obtener su opinión, pero aún no he recibido respuesta; este artículo se actualizará si lo hago.

Sin embargo, sin esa información, todavía es posible sacar conclusiones, especialmente al considerar los números de HackerOne sobre cómo se están encontrando los errores. Los programas de recompensas por errores, por ejemplo, solo aumentaron un 10% este año, informando 42,805 errores frente a los 38,863 de 2020. De los dos tipos de programas de recompensas por errores, las recompensas privadas (disponibles solo para piratas informáticos invitados) crecieron en un 16%, mientras que las recompensas públicas solo aumentaron en un 2%.

Los otros dos métodos para encontrar errores, los programas de divulgación de vulnerabilidades (VDP) y las pruebas de penetración, fueron donde estaba el crecimiento real. Los informes de VDP aumentaron en un 47% y los informes de errores de pentests aumentaron en un sorprendente 264%.

HackerOne dijo que está experimentando un gran aumento en la popularidad de los pentests, que según dijo se debe a «un mayor enfoque del cliente en el cumplimiento de las normas y estándares de seguridad». Sin embargo, en términos de números, los pentests solo están encontrando una pequeña parte de los errores que hacen las recompensas de errores privados: los pentests descubrieron 1.804 errores en 2021 hasta los 25.278 de las recompensas privadas.

VER: Google Chrome: consejos de seguridad e interfaz de usuario que debe conocer (TechRepublic Premium)

Independientemente de la forma en que entren los informes, HackerOne dijo que las soluciones impulsadas por piratas informáticos están demostrando su valor. «Los datos y las percepciones de vulnerabilidad que las organizaciones obtienen de su recompensa de errores, los VDP y los pentests les permiten identificar mejor dónde se originan los problemas y hacia dónde deben dirigirse los recursos y la capacitación», concluye el informe.

Si eso debería reconfortarte o no, está en el aire: parece que se están encontrando más errores no porque la cantidad de errores esté aumentando, sino porque está creciendo la cantidad de piratas informáticos de sombrero blanco que usan sus poderes para el bien (y las ganancias). Lo que eso realmente significa es que sus sistemas probablemente estén tan plagados de errores como los de los demás. El único problema es que aún no has encontrado el tuyo.

Ver también