HackerOne a annoncé que ses programmes de bug bounty ont attribué plus de 300 millions de dollars de récompenses aux pirates informatiques éthiques et aux chercheurs en vulnérabilité depuis la création de la plateforme.

Trente hackers ont gagné plus d’un million de dollars grâce à leurs contributions, et un a battu le record. recevoir plus de 4 millions de dollars pour ses rapports de bugs.

Fondée il y a plus de dix ans, HackerOne est une plateforme de bug bounty qui connecte les organisations à une communauté de hackers éthiques qui identifient et signalent les vulnérabilités et les faiblesses des logiciels en échange d’une récompense.

Il s’agit essentiellement d’une plateforme d’hébergement de bug bounty et de coordination de la divulgation permettant aux entreprises de gérer les rapports et de résoudre rapidement les problèmes identifiés tout en garantissant les paiements aux journalistes.

Cette année, il a fallu en moyenne 25,5 jours aux organisations pour finaliser la correction des bogues signalés, soit une amélioration de 28 % par rapport à l’année dernière.

Combien pour un bug ?

HackerOne a publié son ‘Rapport 2023 sur la sécurité des hackers‘, partageant des idées sur les tendances de cette année.

La société a souligné que les entités crypto et blockchain continuent de bénéficier de la plus grande attention de la part des pirates informatiques éthiques, alimentées par la promesse des paiements les plus élevés. Cette année, la plus grosse prime versée était de 100 050 $ par une société de cryptographie.

Le prix médian d’un bug sur la plateforme est de 500 $ cette année et atteint 3 000 $ dans le 90e percentile (10 % les plus élevés).

Pour les failles critiques et de haute gravité, le paiement moyen est de 3 700 $ dans tous les secteurs et va jusqu’à 12 000 $ dans le 90e percentile.

HackerOne affirme que la chasse aux bogues traditionnelle n’est pas la seule activité sur la plate-forme, puisque les engagements en matière de tests d’intrusion ont augmenté de 54 % cette année.

L’IA est à la fois une aide et une cible

Plus de la moitié des hackers éthiques participant aux programmes HackerOne déclarent utiliser l’IA générative d’une manière ou d’une autre, notamment en écrivant de meilleurs rapports, en écrivant du code et en réduisant les barrières linguistiques.

61 % d’entre eux déclarent prévoir d’utiliser l’IA générative pour détecter davantage de vulnérabilités, et 55 % déclarent s’attendre à ce que les outils d’IA eux-mêmes deviennent une cible importante dans les années à venir.

Les chasseurs de primes sont partagés quant à savoir si l’IA mènera à des produits logiciels plus sûrs ou à une augmentation des vulnérabilités.

D’autres opinions enregistrées dans le rapport incluent des facteurs de motivation et de découragement, les primes jouant le rôle le plus important (73 %) dans la participation, suivies par une abondance de défauts (50 %), des opportunités d’apprentissage (45 %) et une portée variée (46 %). , et des paiements rapides (42%).

D’un autre côté, les éléments qui éloignent les pirates informatiques d’un programme incluent des temps de réponse lents (60 %), une portée limitée (58 %), une mauvaise communication (55 %), de faibles primes (48 %) et des avis négatifs (44 %). .

Pour ceux qui souhaitent s’impliquer dans le programme de bug bounty de HackerOne, vous pouvez parcourir l’annuaire des entreprises pour savoir ce qui est possible pour trouver des bogues.