Итоги работы платформы Standoff Bug Bounty (на ноябрь 2024 года)

Standoff Bug Bounty — это платформа для поиска уязвимостей за вознаграждение, позволяющая компаниям усилить защищенность ИТ-инфраструктуры с помощью опытных белых хакеров.¹

Компаниям платформа позволяет платить только за найденные и подтвержденные уязвимости, обеспечивая простое и конфиденциальное взаимодействие. Она берет на себя всю организационную работу, в том числе перевод вознаграждений, и гарантирует соблюдение принципов ответственного раскрытия информации об уязвимостях. С момента своего запуска в мае 2022 года платформа привлекла более 18 тысяч независимых исследователей из России и стран СНГ, Египта, Индии, Индонезии, Китая, Пакистана, Эфиопии и других стран; всего было сдано более 8 тысяч отчетов.

Белым хакерам платформа дает возможность легально и без риска заниматься любимым делом — находить уязвимости в популярных сервисах — и получать за это вознаграждение. Участие в программах также позволяет независимым исследователям демонстрировать и совершенствовать свои навыки, соревноваться с другими и делать мир безопаснее, укрепляя защиту цифровых услуг. За время своего существования платформа выплатила вознаграждения белым хакерам на сумму более 158 миллионов рублей более чем за 3670 обнаруженных уязвимостей.

В этом исследовании мы подведем результаты работы платформы на 30 ноября 2024 года. Расскажем об отчетах, которые сдавали белые хакеры, полученных вознаграждениях и найденных уязвимостях, обсудим необычные и уникальные программы, реализуемые на платформе, и покажем, как багбаунти-платформы могут повышать киберустойчивость компаний к угрозам.

• На платформе представлено 84 программы по поиску уязвимостей в системах компаний из различных отраслей экономики.
• Количество зарегистрированных пользователей на платформе достигло 18 400.
• Исследователи сдали 1926 уникальных и принятых отчетов, больше всего — в программах компаний из сектора торговли и электронной коммерции.
• Всего багхантеры сдали 4658 отчетов.
• Максимальная выплата составила 3 960 000 рублей, что на 39% больше максимальной выплаты за 2023 год.
• Средняя выплата за принятый отчет в 2024 году составила почти 58 тысяч рублей — это на 13% больше прошлогоднего показателя.
• Компании, предоставляющие онлайн-сервисы, суммарно выплатили белым хакерам больше, чем организации других отраслей. Стабильно щедрые вознаграждения багхантеры получают по программам финансовых сервисов: за каждый десятый принятый отчет выплата составила 190 100 рублей или больше.
• Общая доля найденных уязвимостей высокого и критического уровня опасности достигла 31% — это более чем в два раза превышает показатель площадки HackerOne за 2024 год (15%).
• Доля отчетов с критически опасными недостатками безопасности в 2024 году выросла до 12%, а доля уязвимостей высокого уровня опасности осталась на уровне 19%.
• Рекордсменами по количеству критически опасных уязвимостей стали сервисы госсектора. Наибольшую долю (30%) отчетов с уязвимостями высокого уровня опасности багхантеры сдавали разработчикам программного обеспечения.
• Недостатки контроля доступа — самый актуальный класс уязвимостей за все время работы платформы. Среди уязвимостей высокого и критического уровня опасности почти половина относится к этому классу.
• 16 багхантерам за этот год удалось заработать более 1 миллиона рублей, из которых трем исследователям — более 7 миллионов.

По сравнению с ноябрем 2023 года, количество зарегистрированных на платформе пользователей выросло с 7537 до 18 400. Интерес белых хакеров объясняется постоянным ростом количества доступных для исследования программ. В 2024 году пользователи могли искать баги в рамках программ Минцифры, компаний Rambler&Co, VK, Wildberries, Т-Банк и других. Сейчас исследователям доступно 84 программы из различных отраслей экономики. Наибольшее число программ представлено в секторах онлайн-сервисов, медиа и развлечений, а также торговли и электронной коммерции. Сами багхантеры называют любимыми сферу финансов (21% опрошенных) и потребительский сектор (магазины, доставки и маркетплейсы) (21%).

Кроме большого разнообразия доступных программ, белые хакеры выбирают Standoff Bug Bounty за справедливую и быструю верификацию отчетов. По результатам опроса, 58% багхантеров назвали площадку лучшей по оперативности и профессиональности триажа уязвимостей.

Активный рост числа пользователей и количества программ отражается на результативности всей платформы, в частности на количестве написанных исследователями отчетов. На ноябрь 2024 года багхантеры отправили на платформу 1926 принятых и уникальных отчетов — этот параметр на 43 процентных пункта (п. п.) превысил аналогичный показатель за весь 2023 год. Всего багхантеры сдали 4658 отчетов. В 2024 году самой частой причиной отклонения отчетов стало их дублирование. Такое может произойти, если об уязвимости уже успел сообщить другой исследователь или компания знала о баге ранее.

Несмотря на то что программы из сектора торговли и электронной коммерции составляют только 12% от общего числа, наибольшее количество отчетов приняли именно они — 26% всех принятых отчетов за 2024 год, что на 4 п. п. больше этого показателя за прошлый год. Это связано с появлением в конце 2023 года на платформе программ крупных маркетплейсов — Ozon и Wildberries. Программа Ozon — лидер по принятым отчетам среди публичных программ платформы за 2024 год, а Wildberries является лидером за все время: с момента запуска было принято более 600 отчетов об уязвимостях. Обе программы доступны для иностранных белых хакеров. Общая сумма выплат по программе Ozon составила более 5,5 миллиона рублей, а по программе Wildberries — более 5,7 миллиона рублей.

Рост числа найденных на платформе уязвимостей произошел и в государственном секторе. Госучреждения приняли 12% всех отчетов в 2024 году — это почти в два раза больше показателя прошлого года. В конце 2023 года Минцифры запустило второй этап багбаунти, расширив программу на все ресурсы и системы электронного правительства. В 2024 году для белых хакеров на платформе были доступны электронные сервисы регионов России. Например, багхантеры из России могли исследовать Региональную облачную платформу Свердловской области — за нахождение уязвимостей критического уровня опасности они могли получить до 30 тысяч рублей.

Наши данные показывают, что на протяжении последних шести лет госсектор — первый по доле успешных кибератак. При этом за период с 2022 года по первое полугодие 2024 года почти в каждой третьей успешной атаке на государственные организации злоумышленники прибегали к эксплуатации уязвимостей. Чтобы выявить уязвимости, которые могли быть упущены при внутренних проверках, крайне важно внедрять программы багбаунти.

Для каждой программы руководство компаний и команда Standoff Bug Bounty подбирают оптимальные условия и размеры вознаграждений. Максимальные выплаты могут сильно различаться. Это зависит от бюджета, выделенного на программу багбаунти, ее зрелости и того, как давно компания в ней участвует. В 2024 году максимальная выплата составила 3 960 000 рублей, что на 39% больше максимальной выплаты за 2023 год. 

Сегодня наибольшее вознаграждение можно получить в особых программах Innostage (до 10 000 000 рублей) и Positive dream hunting (60 000 000 рублей), реализовав недопустимое для компаний событие³: хищение денег или внедрение кода. Помимо этих программ, в особом формате — APT Bug Bounty — в конце 2024 года были запущены программа Rambler&Co. За реализацию недопустимого события в программе Rambler&Co багхантеры получат 3 миллиона рублей.

Программа Innostage приняла один отчет, за который багхантеру было выплачено 100 000 рублей за промежуточный результат по потенциальной реализации недопустимого события. По остальным программам в формате охоты на недопустимые события отчетов еще принято не было. Программы ждут исследователей, которые смогут достичь цели и получить максимальное вознаграждение.

Остальные программы на платформе работают в классическом формате поиска уязвимостей. Из них максимальные вознаграждения предлагаются в программах компании VK: ВКонтакте, Почта, Облако и Календарь Mail.ru, RuStore. Исследователи могут заработать до 3 600 000 рублей за уязвимости, дающие возможность удаленно выполнить код.

Сумма вознаграждения за найденную уязвимость может зависеть от серьезности проблемы, вероятности использования злоумышленниками, окружения и других факторов. Средняя выплата за принятый отчет в 2024 году составила почти 58 тысяч рублей — это на 13% больше показателя за предыдущий год.

В 2024 году компании, разрабатывающие онлайн-сервисы, выплатили белым хакерам больше, чем организации других отраслей: суммарно на них приходится более трети (37%) вознаграждений. В этой же сфере исследователи получили наибольшие средние выплаты — более 104 тысяч рублей за один отчет, а десятая часть вознаграждений в отрасли составляла более 157 тысяч рублей.

Стабильно щедрые вознаграждения в 2024 году платили по программам финансовых сервисов. За каждый десятый принятый отчет выплата составила 190 100 рублей или более. За половину всех принятых отчетов исследователи получали выплаты более 20 тысяч рублей.

Наиболее полезны для компаний отчеты о найденных уязвимостях высокого и критического уровня опасности. Злоумышленники с большой долей вероятности будут использовать эти уязвимости в реальных атаках на целевые системы, и их нужно исправлять в первую очередь. С развитием платформы исследователи находят все больше таких уязвимостей. За 2024 год общее число найденных уязвимостей высокого и критического уровня опасности достигло почти трети от всех (31%) — это более чем в два раза выше этого показателя у площадки HackerOne (15%). Доля отчетов о критически опасных недостатках безопасности выросла до 12%, а доля уязвимостей высокого уровня опасности осталась на уровне 19%. Основная масса сданных отчетов содержит сведения об уязвимостях среднего и низкого уровня опасности, так как их проще и быстрее обнаружить, но и размер вознаграждения за них, соответственно, ниже.

Наибольшую долю отчетов об уязвимостях высокого уровня опасности багхантеры сдавали разработчикам программного обеспечения — почти треть (30%) всех принятых отчетов. Программы организаций госсектора принимали наибольшую долю отчетов, содержащих уязвимости критического уровня опасности: они были почти в каждом пятом отчете (19%). Госучреждения часто используют устаревшие системы и инфраструктуры, которые труднее защитить и модернизировать, иногда в силу нехватки бюджета. Поэтому белым хакерам проще найти уязвимости критического уровня опасности в таких организациях. Аналогичную тенденцию отмечает и багбаунти-площадка HackerOne, говоря о том, что государственные органы плохо справляются с устранением «легкодоступных» уязвимостей.

В 2024 году хакерам удалось обнаружить множество недостатков безопасности в исследуемых приложениях. Наиболее популярными стали CWE-284, CWE-79 и CWE-200. По статистике HackerOne, эти же уязвимости занимают первые три места по количеству отчетов белых хакеров. Статистика площадки Standoff Bug Bounty поддерживает мировые тренды. Далее подробнее рассмотрим распределение обнаруженных уязвимостей по категориям OWASP Top-10 2021.

За все время работы платформы наиболее актуальными стали уязвимости, связанные с недостатками контроля доступа (42%). Среди уязвимостей высокого и критического уровня опасности почти половина (49%) относится к этому классу. Сбои контроля доступа могут приводить к несанкционированному доступу злоумышленников к данным или приложениям, а также дают возможность выполнить в системе те действия, которые не позволяет совершить выданный пользователю набор прав. Эта категория также стоит на первом месте в рейтинге наиболее распространенных уязвимостей в веб-приложениях OWASP Top-10 2021.

На втором месте — категория уязвимостей, связанных с внедрением кода в запросы пользователя (22%). При этом 19% уязвимостей высокого и критического уровня опасности относились к этому классу. Такие уязвимости позволяют внедрять вредоносный код в запросы к серверу и выполнять его; таким образом злоумышленники могут украсть конфиденциальные данные, атаковать пользователей и даже перехватить контроль над сервером.

На третьем месте — уязвимости, вызванные небезопасным проектированием: к этому типу относится почти каждая десятая найденная багхантерами уязвимость (9%). Среди критически и высоко опасных уязвимостей их доля составляет 7%. Это архитектурные и логические ошибки, допущенные на этапах планирования и разработки: отсутствие достаточных механизмов защиты, проверок авторизации и аутентификации, контроля доступа. Эти недостатки довольно сложно устранить, так как их исправление часто требует пересмотра архитектуры системы.

Четвертое место занимают недостатки идентификации и аутентификации — их доля составила 7%. Такие недостатки безопасности могут позволить злоумышленнику обходить механизмы контроля доступа, захватывать аккаунты пользователей и получать доступ к чувствительным данным.

Отметим, что уязвимости некоторых категорий, например «A06 — Уязвимые и устаревшие компоненты», багхантеры не находили совсем. Это связано с особенностью функционирования программ багбаунти: если исследователь пишет отчет об использовании устаревшего или потенциально уязвимого ПО, такой отчет будет рассматриваться как информативный. Тем не менее нельзя недооценивать опасность такого рода недостатков. Несвоевременное устранение уязвимостей может иметь серьезные последствия для организаций.

Среди лидеров по числу уязвимостей, связанных с нарушением контроля доступа, выделяются секторы торговли и электронной коммерции (49%) и финансовые сервисы (48%). Среди всех найденных уязвимостей высокого и критического уровня опасности в финансовых сервисах 67% были вызваны именно нарушением контроля доступа. Эти сервисы часто имеют сложные уровни доступа, что усложняет управление ими. Кроме того, финансовые и торговые сервисы обычно используют системы, которые постоянно обновляются. Недостаточный контроль доступа в таких системах может привести к утечкам конфиденциальных данных и финансовым потерям.

Наибольшая доля (33%) уязвимостей, связанных с внедрением кода, была обнаружена в госсекторе. Государственные учреждения получают меньше отчетов о более сложных уязвимостях, таких как архитектурные или логические ошибки, поскольку белые хакеры сначала находят более простые уязвимости перед тем, как углубляться в инфраструктуру. А, как уже писалось ранее, из-за недостатка финансирования и использования устаревших систем, а также большого количества активов многие уязвимости остаются незамеченными .

В транспортном секторе исследователи находили больше всего уязвимостей, приводящих к атакам типа SSRF, — им посвящена почти четверть всех принятых отчетов (24%). Это уязвимости, с помощью которых злоумышленник может заставить сервер делать запросы к внутренним или внешним ресурсам от своего имени. Так атакующий потенциально может получить доступ к внутренним системам и обойти ограничения доступа.

Для большинства исследователей багхантинг — это подработка, которой они занимаются в свободное от основной работы время (так заявили 29% опрошенных багхантеров). Для 27% исследователей багхантинг является их основной работой и источником стабильного заработка.  

Большинство респондентов (29%) тратит на багхантинг менее четверти рабочего времени в месяц, а у 17% исследователей багхантинг занимает все рабочее время. Основной мотивацией для белых хакеров, конечно, служат денежные выплаты: 33% опрошенных говорят, что заработок — это главный плюс багхантинга. Однако для части исследователей (21%) ключевым преимуществом стала прокачка навыков и опыт.

Большинство белых хакеров получают информацию по теме багхантинга из каналов в Telegram (65% опрошенных), на специализированных сайтах (56%) и в Twitter (X) (21%). Почти половина исследователей (48%) обращаются за помощью к комьюнити в чатах и на форумах.

Для совершенствования навыков багхантеров на платформе Standoff Bug Bounty теперь есть страница с раскрытыми отчетами об уязвимостях. Реальные примеры — полезный инструмент как для начинающих, так и для опытных исследователей: новички могут наглядно изучать принципы тестирования безопасности, а опытные специалисты — узнавать новые подходы к поиску уязвимостей. Кроме того, публикация отчетов способствует прозрачности и укрепляет доверие между исследователями и компаниями, которые привлекают их к проверке защищенности своих систем.

Самые крупные суммы вознаграждений представлены на рисунке 14. За все время работы платформы уже три белых хакера заработали более 11 миллионов рублей каждый. В 2024 году 16 багхантерам удалось заработать более 1 миллиона рублей, из которых трем исследователям — более 7 миллионов.

Для 75% опрошенных исследователей приглашение на приватные ивенты — привлекательное поощрение за участие в багбаунти. Для топовых багхантеров Standoff организовывает закрытые эксклюзивные мероприятия Standoff Hacks, на которых можно участвовать в программах с совершенно новыми приложениями и повышенными вознаграждениями.

В мае такое приватное мероприятие прошло в Москве перед фестивалем Positive Hack Days. Белые хакеры заработали суммарно более 4 миллионов рублей, а самый результативный исследователь получил более 960 тысяч рублей. Помимо состязания в поисках багов, участники смогли посоревноваться на гоночных трассах.

Эксплуатация уязвимостей программного и аппаратного обеспечения, веб-приложений на протяжении пяти лет входит в тройку наиболее популярных методов атак на организации: в третьем квартале 2024 года злоумышленники использовали этот метод в трети успешных атак. По данным компании IBM,средняя стоимость утечки, начальным вектором которой была эксплуатация неисправленной уязвимости, в 2024 году составила 4,33 миллиона долларов. Эти данные подчеркивают необходимость проактивной защиты ИТ-инфраструктуры и веб-приложений. Своевременное обнаружение и устранение уязвимостей позволяет компаниям значительно снизить вероятность успешных атак и уменьшить потенциальные убытки, что делает программы багбаунти важнейшим инструментом в обеспечении кибербезопасности.

Платформа Standoff Bug Bounty, благодаря сотрудничеству компаний и хакеров, помогает оперативно выявлять и устранять уязвимости, снижая риски успешных атак и возможные финансовые и репутационные потери. Это особенно важно в условиях растущего числа атак с использованием уязвимостей в веб-приложениях и ИТ-инфраструктуре.

Белым хакерам платформа предоставляет уникальную возможность не только внести вклад в обеспечение безопасности, но и получить признание и финансовое вознаграждение за свои знания и усилия. Широкий перечень отраслей и программ позволяет багхантерам сосредоточиться на тех секторах, которые лучше всего соответствуют их техническим навыкам. Именно активное участие хакеров делает программы багбаунти эффективными, помогая компаниям своевременно усиливать защищенность своих систем.