Минобороны США — лидер рейтинга HackerOne по числу найденных багов

Минобороны США — лидер рейтинга HackerOne по числу найденных багов

Репортеры «Известий» ознакомились с результатами баг-хантинга в рамках спецпрограмм, запущенных различными организациями на платформе HackerOne. Как оказалось, первое место по количеству найденных уязвимостей пока удерживает Министерство обороны США.

Согласно записи в реестре HackerOne, программа тестирования систем Минобороны США на устойчивость к взлому была запущена в ноябре 2016 года. За истекший период ее участникам удалось обнаружить около 12,5 тыс. проблем.

Второе место в рейтинге HackerOne занял производитель цифрового контента  Verizon Media (6,7 тыс. уязвимостей), третье — Mail.Ru Group (MRG, около 4 тыс. багов). Примечательно, что обе компании запустили свои программы по поиску брешей на 2,5 года раньше, чем Пентагон.

В отличие от коммерческих предприятий, Минобороны США не платит за найденные уязвимости, а начисляет баллы, которые в сумме позволяют баг-хантерам принять участие в аналогичных закрытых программах и получить щедрое вознаграждение.

Комментируя рейтинг HackerOne для «Известий», многие специалисты по ИБ сошлись во мнении, что количество найденных багов в данном случае отражает степень ответственности организации, а не слабость ее защиты.

«На практике количество уязвимостей на сайте не имеет значения, — заявил журналистам эксперт «Лаборатории Касперского» Александр Гостев. — Достаточно одной, чтобы спровоцировать крупную утечку ценной информации и поставить бизнес на колени».

В качестве примера комментатор привел взлом сервиса British Airways в 2019 году, повлекший кражу платежных данных 380 тыс. клиентов авиакомпании. Последней вменили в вину халатное отношение к сохранности конфиденциальной информации и вменили штраф в размере £183 млн.

Стремление организаций к выявлению и устранению уязвимостей, по словам экспертов, надо только приветствовать, и судить о безопасности предприятия по числу таких находок было бы неверным.

«Делать вывод о безопасности по количеству найденных по программе вознаграждения недочетов в коде нелогично и непрофессионально, — считает Сергей Лучин из MRG. — Это говорит лишь об интересе исследователей к продукту и системе мотивации для поиска улучшений кода. Чем больше компания платит за недочеты, тем больше к ней внимания».

MRG в среднем платит за баги от 250 до 300 долларов. По словам ее представителя, ни одна из уязвимостей, обнаруженных в рамках программы на HackerOne, не позволила хакерам получить доступ к аккаунтам пользователей.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Valve никак не пропатчит 2-летнюю дыру в Source (CS:GO, Half-Life)

Группа специалистов в области кибербезопасности, называющая себя Secret Club, сообщила в Твиттере об уязвимости игрового движка Source 3D, за разработкой которого стоит Valve. Выявленный баг, по словам экспертов, позволяет выполнить код удалённо.

Таким образом, уязвимость затрагивает множество игровых проектов Valve, причём исследователи сообщили разработчику о проблеме около двух лет назад.

Тем не менее последний релиз Counter Strike: Global Offensive (CS:GO) содержит этот же баг. Помимо него, затронуты Half-Life, Half-Life 2, Garry's Mod, Team Fortress, Left 4 Dead и Portal. Экспертов Secret Club при этом раздражает, что они не могут опубликовать технические детали, ведь патча до сих пор нет.

Один из исследователей, сообщивших о баге, заявил, что на сегодняшний день уязвимость всё ещё актуальна. Это значит, что потенциальный злоумышленник может запустить вредоносный код на компьютерах игроков.

Для эксплуатации уязвимости достаточно отправить жертве приглашение поиграть на площадке Steam. Подробнее специалисты объяснили в видео:

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru