HackerOne: Деньги не являются главной мотивацией этичных хакеров

HackerOne: Деньги не являются главной мотивацией этичных хакеров

HackerOne: Деньги не являются главной мотивацией этичных хакеров

Аналитики HackerOne опубликовали отчет за 2018 год, в котором рассматриваются вопросы мотивации так называемых «этичных» хакеров. Также исследователи пытаются объяснить, почему некоторые «этичные» хакеры не сообщают об уязвимостях.

Согласно опубликованному HackerOne отчету «2018 Hacker Report» (PDF), по состоянию на декабрь 2017 года на площадке были зарегистрированы более 166 000 хакеров, сообщено о 72 000 актуальных уязвимостях и выплачено более $23,5 миллионов в качестве вознаграждения.

«Каждый день хакеры демонстрируют мощь нашего комьюнити — сообщается о тысячах уязвимостей, обнаруженных в корпоративных и государственных системах. Такой подход делает интернет более безопасным для нас всех», — подчеркивает глава HackerOne Мартен Микос.

Интересным моментом отчета является информация о заинтересованности хакеров в поиске брешей. Большинство участников программы HackerOne отметили, что их главная мотивация — изучать новые приемы и техники.

Второе место по части мотивации у хакеров заняли позиции «бросить себе вызов» и «просто повеселиться». И только на четвертом месте оказались деньги.

Согласно отчету HackerOne, есть и препятствия на пути хакеров, которые сообщают об уязвимостях. Например, одним из таких препятствий является отсутствие политики некоторых компаний, касающейся раскрытия уязвимостей.

«94% компаний из списка Forbes Global 2000 не опубликовали политику раскрытия уязвимостей. В результате практически каждый четвертый хакер не сообщил об обнаруженной уязвимости, потому что компания не предлагает для этого специальный канал», — гласит отчет.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Шпион на основе Stealerium — находка для бытового шантажиста

В этом году в Proofpoint зафиксировали рост активности распространителей троянов на базе opensource-проекта Stealerium. Все замеченные варианты PoC-стилера проявляли особое рвение при просмотре жертвой контента 18+.

Исходники Stealerium были выложены на GitHub «в образовательных целях» в 2022 году и доступен до сих пор. Как и следовало ожидать, их стали брать за основу злоумышленники — появление Phantom Stealer тому живой пример.

Создаваемые ими модификации отличаются от других стилеров повышенным интересом к «клубничке». Кроме кражи системных данных, файлов, сохраненных в приложениях учеток, куки и финансовой информации, они умеют фиксировать заходы жертвы на порносайты, делать скриншоты и включать веб-камеру при просмотре такого контента.

Открытие целевых страниц в браузере Stealerium-подобный вредонос отслеживает по заданным словам — «porn», «sex» и т. п. Захваченные изображения отсылаются оператору по электронной почте, через Telegram или Discord и впоследствии могут быть использованы для шантажа.

 

Имейл-рассылки, нацеленные на распространение Stealerium-зловредов, проводятся различным тиражом, от пары сотен до десятков тысяч сообщений. Поддельные письма с аттачем имитируют послания разных организаций — благотворительных фондов, банков, судов, турагентств и даже ЗАГСов.

Прикрепленные файлы отличаются разнообразием форматов: RAR, JS, VBS, ISO, IMG, ACE. По данным экспертов, подобные вредоносные фальшивки были направлены в сотни учреждений из разных стран.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru