В российских IТ-системах обнаружено более 6000 уязвимостей

16 января. FINMARKET.RU - В 2024 г. белые хакеры обнаружили более 6000 уязвимостей в различных системах российских компаний и госучреждений. 1926 уязвимостей было обнаружено через платформу Standoff Bug Bounty (Positive Technologies), еще 4451 отчет о найденных уязвимостях был опубликован на платформе BI.Zone Bug Bounty. Об этом "Ведомостям" рассказали представители обеих компаний.

Как следует из отчета Positive Technologies, госсектор стал рекордсменом по числу отчетов о критически опасных уязвимостях: критической была каждая пятая уязвимость, выявленная в госсистемах.

В Минцифры уточнили, что в рамках второго этапа bug bounty с ноября 2023 г. по ноябрь 2024 г. багхантеры обнаружили около 280 уязвимостей в 10 госсистемах, рассказал "Ведомостям" представитель министерства. При этом большая часть из них - средней и низкой степени критичности, подчеркнул собеседник.

За найденные в госсистемах уязвимости специалисты получили выплаты почти на 12,7 млн руб. "У специалистов не было доступа к внутренним данным систем, они проверяли только внешний периметр, - уточнил представитель Минцифры. - При этом их работа контролировалась системами мониторинга, поэтому найденные уязвимости невозможно использовать для взлома".

Согласно отчету Positive Technologies Standoff Bug Bounty за период с ноября 2023 г. по ноябрь 2024 г., багхантеры выявили в прошлом году на 43% больше уязвимостей, чем в 2023 г. Сумма выплаченных вознаграждений исследователям за найденные в 2024 г. уязвимости составила 88,1 млн руб., а общая сумма выплат с момента запуска багбаунти-площадки в мае 2022 г. достигла 158 млн руб., говорится в отчете. Больше всех выплат за уязвимости, обнаруженные через платформу Positive Technologies, исследователям осуществили онлайн-сервисы: суммарно на них приходится 37% вознаграждений.

На второй багбаунти-платформе - от BI.Zone за 2024 г. был собран 4451 отчет о найденных уязвимостях, значимая часть из них приходится на финтех и IT, рассказал директор департамента анализа защищенности и противодействия мошенничеству компании Евгений Волошин. Около 500 присланных отчетов имеют критичность уровня "высокая" и выше. За 2024 г. сумма выплат независимым исследователям на платформе BI.Zone Bug Bounty составила 64 млн руб. Самые крупные выплаты пришлись на IT и финсектор.

Согласно отчету Positive Technologies, чаще всего багхантеры обнаруживали в российских системах уязвимости, связанные с контролем доступа (42%). Чаще всего такие ошибки находили в программах компаний электронной коммерции и финансовых и онлайн-сервисов. На 2-м месте по популярности оказались уязвимости, связанные с внедрением вредоносного кода (22%), за ними следуют архитектурные и логические ошибки (9%).