HackerOne漏洞赏金支付超2.3亿美元

漏洞赏金平台HackerOne表示，道德黑客在2022年已发现并报告了超过6.5万个软件漏洞。

该黑客驱动的主流漏洞赏金平台既服务于私营行业，也支持政府机构等公共部门，自成立以来已支付了2.3亿美元的漏洞赏金。

截至目前，22名黑客通过HackerOne提交漏洞报告赚取了超过100万美元的赏金，而2021年时赚到这个数目的黑客只有12名。

HackerOne在其最新年度报告中指出：“道德黑客报告的漏洞类型中，通常由数字转型引入的漏洞增长最为显著，错误配置类漏洞增长了150%，不当授权类漏洞增长了45%。”

HackerOne报告称，修复总时间从35天增加到了37天。航空航天公司是修复最慢的，修复中位时间是148.3天，其次是医疗技术企业，修复中位时间为73.9天。加密货币和区块链公司的修复速度最快，只需11.6天就能修复。

报告显示：“有限的范围会挡住50%的黑客，但响应速度慢和沟通不良是最有可能妨碍黑客报告漏洞的问题。”

HackerOne的数据表明，机构和企业需要设置有效的漏洞报告渠道，因为50%的黑客会由于受影响实体缺乏漏洞披露计划而选择不披露所发现的安全漏洞。另有12%的黑客则是因威胁性法律用语而望而却步。

2022年，道德黑客凭借跨站脚本（XSS）漏洞赚到了最为丰厚的赏金，其次是不当访问控制漏洞和信息披露漏洞。不安全直接对象引用（IDOR）和不当授权位列第四和第五。

报告还指出，95%的黑客专注挖掘网站中的漏洞，24%专盯各个云平台。

HackerOne表示，漏洞赏金计划采用率总体增长45%，制药公司的增长率最高，为700%。汽车、电信、加密货币和区块链行业的漏洞赏金计划采用率也很高，分别增长了400%、156%和143%。