Если путь твой к созданию модели ведет,Как бы не был он долог и труден – вперед!
Positive Technologies: в 2024 году на платформе Standoff Bug Bounty доля отчётов о наиболее опасных уязвимостях в два раза превысила показатель мировых платформ
21.01.2025 17:17
Пресс-релиз компании Positive Technologies
Эксперты подвели итоги работы платформы Standoff Bug Bounty за 2024 год. Крупнейшая отечественная багбаунти-площадка, запущенная компанией Positive Technologies в мае 2022 года, продолжает помогать организациям в России укреплять кибербезопасность. К концу 2024-го количество зарегистрированных на платформе исследователей достигло 18 400, увеличившись по сравнению с уровнем прошлого года более чем в два раза. Standoff Bug Bounty помогла компаниям выявить рекордное число уязвимостей, а количество принятых отчетов выросло в полтора раза.
За 2024 год на платформе было принято 1926 отчетов об уязвимостях — это на 43% больше, чем за 2023-й. Всего багхантеры сдали 4658 отчетов. Общая сумма вознаграждений, выплаченных исследователям с момента запуска Standoff Bug Bounty, достигла 158 миллионов рублей. При этом средняя выплата за принятый отчет выросла на 13%, составив 58 тысяч рублей.
Государственный сектор стал рекордсменом по числу отчетов о критически опасных уязвимостях — 19% от общего числа отчетов в этой отрасли. В финансовой сфере среди всех найденных уязвимостей высокого и критического уровня опасности более двух третей вызваны нарушением контроля доступа, что связано с высокой сложностью систем и многоуровневыми механизмами управления привилегиями.
В 2024 году доля отчетов об уязвимостях высокого и критического уровня опасности составила 31% от общего числа, что более чем в два раза превышает средние показатели конкурирующих платформ, таких как HackerOne (15%).
«Доля отчетов о критически опасных уязвимостях увеличилась до 12%, — отметил Анатолий Иванов, руководитель Standoff Bug Bounty. — Это свидетельствует о профессионализме пользователей платформы и эффективности работы Standoff Bug Bounty. Увеличение объёма выплат, особенно за высокоопасные уязвимости, мотивирует исследователей сотрудничать, что в итоге помогает сделать цифровую инфраструктуру компаний более защищенной. Наша платформа продолжает служить мостом между бизнесом и сообществом белых хакеров, предлагая уникальные возможности для защиты IT-инфраструктуры и развития кибербезопасности на глобальном уровне».
Наиболее часто исследователи обнаруживали уязвимости, связанные с недостатками контроля доступа (42%). К ним относится почти половина уязвимостей высокого и критического уровня опасности. В основном такие ошибки находили в программах компаний электронной коммерции, финансовых и онлайн-сервисов. На втором месте оказались уязвимости, связанные с внедрением вредоносного кода (22%), за ними следуют архитектурные и логические ошибки (9%).
Компании, предоставляющие (или разрабатывающие) онлайн-сервисы, выплатили белым хакерам больше, чем организации других отраслей: суммарно на них приходится более трети (37%) вознаграждений. В этой же сфере исследователи получали наибольшие средние выплаты — более 104 тысяч рублей за один отчёт, а десятая часть вознаграждений в отрасли составляла более 157 тысяч рублей.
Стабильно щедрые вознаграждения назначали в рамках программ финансовых сервисов. За каждый десятый принятый отчет выплата составила 190 100 рублей или больше. За половину всех принятых отчетов исследователи получали выплаты более 20 тысяч рублей.
Максимальная выплата за одну найденную уязвимость в 2024 году была сделана VK и составила рекордные 3,96 миллиона рублей, что на 39% больше, чем в предыдущем году. 16 багхантерам за этот год удалось заработать более 1 миллиона рублей, из которых трем исследователям — более 7 миллионов.
В 2024 году на Standoff Bug Bounty было доступно 84 программы компаний из различных отраслей. Наибольшее количество отчетов (26%) поступило от исследователей, изучавших инфраструктуру организаций из сектора торговли и электронной коммерции. Лидирующие позиции здесь заняли маркетплейсы Wildberries (принято более 600 отчетов, общая сумма вознаграждений составила 5,7 миллиона рублей) и Ozon (принято не менее 300 отчётов, а выплаты исследователям превысили 5,5 миллиона рублей).
Кроме того, высокий уровень активности наблюдался в программах онлайн-сервисов, финансового сектора, сферы медиа и развлечений, а также госучреждений.
Последний вышедший номер
Читайте в номере:
Адрес редакции: 117997, Москва, Профсоюзная ул., д. 65, оф. 360
Телефон: (926) 212-60-97.
E-mail: info@avtprom.ru или avtprom@ipu.ru
© ООО Издательский дом "ИнфоАвтоматизация", 2003-2026 гг.
Сайт «Автоматизация в промышленности» предназначен для специалистов по промышленной автоматизации: главных инженеров, главных энергетиков, главных механиков, главных метрологов, инженеров служб АСУ ТП, АСУТП, КИПиА, КИП и А, отделов метрологии, отделов автоматизации, отделов главного инженера, специалистов инжиниринговых и внедренческих фирм, менеджеров фирм системных интеграторов, преподавателей вузов, научных работников, сотрудников научно-исследовательских институтов, студентов и аспирантов.
Сайт «Автоматизация в промышленности» неразрывно связан с одноименным журналом, в котором публикуются концептуальные, научно-практические и внедренческие статьи, посвященные промышленным автоматизированным системам, системам управления бизнес-процессов, программному и алгоритмическому обеспечению, техническим средствам автоматизации, вопросам сертификации, описанию промышленных стандартов, а также обзоры зарубежной прессы.
В каждом номере проводится обсуждение актуальных тем по проблемам создания и применения следующего инструментария: интегрированные АСУ, MES, АСУ П, АСУ ТП, SCADA, АСКУЭ, EAM, ТОИР, ERP, LIMS, ЛИУС, распределенные системы управления, РСУ, система управления качеством выпускаемой продукции, промышленные тренажеры, современные методы и алгоритмы управления и моделирования, коммуникационные средства, GSM–связь, РС-совместимые контроллеры, ПК, человеко-машинный интерфейс, встраиваемые системы, Web-технологии, HTML-технологии, числовое программное управление, ЧПУ, виртуальные приборы, виртуальное измерение, беспроводная связь, имитационное моделирование, Ethernet, Internet-технологии, Industry 4.0, Интернет вещей, промышленный Интернет вещей, IIoT, IoT, Четвертая промышленная революция, навигационные системы, роботы, датчики, сенсоры, диагностика клапанов, водоподготовка, экологические системы, производственная безопасность, идентификация, RFID-технологии, машинное зрение, промышленные сети, средства промышленного монтажа, корпуса и конструктивные решения, пневмоавтоматика, ПЛК, программируемые логические контроллеры, интеллектуальные датчики, сервосистемы, системы поддержки принятия решений и т.д.
Вниманию читателей предлагаются подборки по автоматизации следующих отраслей промышленности и народного хозяйства: металлургия, нефтегазовая отрасль, химическая промышленность, транспорт, сельское хозяйство, комбикормовая и перерабатывающая промышленность, автомобилестроение, энергетика, электроэнергетика, жилищно-коммунальное хозяйство, интеллектуальное здание, умный дом, непрерывное производство (рецептурное), дискретное производство, пищевая промышленность и др.