HackerOne, una piattaforma di bug bounty, ha annunciato di aver assegnato ricompense per un totale di oltre 300 milioni di dollari a hacker etici e ricercatori di vulnerabilità dal suo lancio. Trenta hacker hanno guadagnato oltre un milione di dollari per le loro segnalazioni, e uno ha stabilito un nuovo record, ricevendo oltre 4 milioni di dollari per i suoi report.
Una piattaforma per la sicurezza informatica
Fondata oltre un decennio fa, HackerOne collega le organizzazioni con una comunità di hacker etici che identificano e segnalano vulnerabilità nei software in cambio di una ricompensa. Quest’anno, le organizzazioni hanno impiegato in media 25,5 giorni per risolvere i bug segnalati, migliorando del 28% rispetto all’anno precedente.
Quanto vale un bug?
HackerOne ha pubblicato il suo “2023 Hacker-Power Security Report”, evidenziando le tendenze di quest’anno. Le entità legate alle criptovalute e alla blockchain continuano ad attirare l’attenzione degli hacker etici, grazie alle ricompense elevate. Quest’anno, la ricompensa più alta è stata di $100,050 da parte di un’azienda di criptovalute. Il prezzo medio di un bug sulla piattaforma è di $500 quest’anno, arrivando a $3,000 per il 10% più alto. Per le vulnerabilità critiche e ad alta gravità, la ricompensa media è di $3,700, arrivando fino a $12,000 per il 10% più alto.
L’IA come strumento e obiettivo
Oltre la metà degli hacker etici che partecipano ai programmi di HackerOne utilizza l’IA generativa in vari modi, come per scrivere report migliori, codificare e superare le barriere linguistiche. Il 61% prevede di utilizzare l’IA generativa per trovare più vulnerabilità, mentre il 55% si aspetta che gli strumenti di IA diventino un obiettivo significativo nei prossimi anni.
Motivazioni e fattori scoraggianti
Le ricompense rappresentano il motivo principale (73%) per cui gli hacker partecipano ai programmi, seguito dalla presenza di molte vulnerabilità (50%), l’opportunità di apprendimento (45%), un ampio campo di applicazione (46%) e pagamenti rapidi (42%). D’altra parte, ciò che allontana gli hacker da un programma include tempi di risposta lenti (60%), un campo di applicazione limitato (58%), scarsa comunicazione (55%), ricompense basse (48%) e recensioni negative (44%).