«Белые хакеры» выявили за год более 3400 уязвимостей в российских IТ-системах

«Белые хакеры» (багхантеры) в 2024 году выявили тысячи уязвимостей в IT-системах российских компаний и госучреждений, сообщили «Ведомостям» представители Positive Technologies и BI.Zone. Эти компании запустили платформы — Standoff Bug Bounty и BI.Zone Bug Bounty соответственно, — позволяющие багхантерам легально искать уязвимости и получать за это оплату.

На платформе Standoff Bug Bounty в 2024 году было всего опубликовано 4658 отчетов об уязвимостях, из которых принято (то есть их авторы получили оплату за найденную уязвимость) — 1926. На BI.Zone Bug Bounty — 4451 отчет, из них принято 1500, уточнили Forbes в компании. 

Критически опасной была каждая пятая уязвимость, выявленная в государственных IT-системах, говорится в отчете Positive Technologies. Представитель Минцифры уточнил, что с ноября 2023-го по ноябрь 2024 года багхантеры обнаружили почти 280 уязвимостей в 10 госсистемах. Он отметил, что большая часть из них — средней и низкой степени критичности. За найденные в госсистемах уязвимости «белые хакеры» получили выплаты в 12,7 млн рублей.

По данным Positive Technologies, на платформе Standoff Bug Bounty багхантеры выявили в 2024 году на 43% больше уязвимостей, чем в 2023-м. Общая сумма выплаченных вознаграждений составила 88,1 млн рублей. Средняя выплата за одну найденную уязвимость выросла за год на 13% и достигла 58 000 рублей. При этом рекордные 3,96 млн рублей за одну найденную уязвимость заплатила VK.

Больше всех выплат за уязвимости, обнаруженные через платформу Positive Technologies, осуществили онлайн-сервисы. Средний размер их выплат за один отчет превысил 104 000 рублей. При этом, отмечает портал CNews, по Wildberries было принято более 600 отчетов, общая сумма вознаграждений составила 5,7 млн рублей. По Ozon было принято не менее 300 отчетов, выплаты исследователям превысили 5,5 млн рублей.

Сумма выплат независимым исследователям на платформе BI.Zone Bug Bounty в 2024 году составила 64 млн рублей. Максимальная выплата за цепочку уязвимостей составила 1,8 млн рублей, а средняя — 44 000 рублей, отметил директор департамента анализа защищенности и противодействия мошенничеству компании Евгений Волошин. Самые крупные выплаты пришлись на IT и финансовый сектор, уточнил он, не называя компании.

Эксперт Kaspersky ICS CERT Владимир Дащенко отметил, что средние выплаты российских багбаунти-площадок невысоки по сравнению с зарубежными, которые могут предлагать суммы, эквивалентные 3 млн рублей.

Эксперт ГК «Гарда» Лука Сафонов напомнил, что принятый в ноябре 2024 года закон об утечке персональных данных вводит уголовную ответственность и штраф до 15 млн рублей за первичный случай утечки данных и до 3% от оборота компании при повторном нарушении. Это, по его мнению, сподвигнет компании уделять больше внимания сохранности данных, в том числе при помощи «белых хантеров». По его оценкам, в России на текущий момент имеется порядка 5000–6000 исследователей, из которых активных — около 500, а топовых — 30–50. Увеличить количество «белых хакеров» может только рост размера и количества вознаграждений за найденные уязвимости, отметил эксперт рынка TechNet НТИ Антон Аверьянов.

Обновлено. Исправлен заголовок и уточнена информация по отчетам об уязвимостях и найденным уязвимостям.