Hơn 66.000 lỗ hổng được phát hiện trong năm 2021
Mới đây, HackerOne - nền tảng bảo mật do tin tặc (hacker) cung cấp, cho biết hacker có đạo đức đã phát hiện ra hơn 66.000 lỗ hổng trong năm nay. Ngoài ra, có sự gia tăng 47% về lỗ hổng được phát hiện bởi Chương trình tiết lộ lỗ hổng bảo mật (Vulnerability Disclosure Programs).
Theo báo cáo, sự gia tăng các lỗ hổng bảo mật một phần là do có sự gia tăng các tổ chức áp dụng các chương trình kiểm tra bảo mật do hacker có đạo đức cung cấp. Ví dụ, đã có sự gia tăng 62% trong các chương trình dịch vụ tài chính, và tăng 89% trong các chương trình của chính phủ, bao gồm cả một thử thách tiền thưởng lỗi của Bộ Quốc phòng Anh.
HackerOne cho biết một yếu tố khác là sự mở rộng của các phạm vi tấn công do chuyển đổi kỹ thuật số và di chuyển lên đám mây trong đại dịch COVID-19.
Lỗ hổng phổ biến nhất được phát hiện là Cross-site scripting (một lỗ hổng phổ biến trong ứng dụng web. Để khai thác một lỗ hổng XSS, hacker sẽ chèn mã độc thông qua các đoạn script để thực thi chúng ở phía client. Thông thường, các cuộc tấn công XSS được sử dụng để vượt qua các kiểm soát truy cập và mạo danh người dùng), như đã xảy ra vào năm 2020. Tuy nhiên, cũng có sự gia tăng đáng kể trong các báo cáo về công bố thông tin (58%) và lỗi logic nghiệp vụ (67%). Trong số tất cả các lỗ hổng được báo cáo, 26% được coi là nghiêm trọng, 36% mức độ nghiêm trọng trung bình và 34% mức độ nghiêm trọng thấp.
Đặc biệt, theo báo cáo, thời gian trung bình để giải quyết các sự cố này đã giảm 19%, từ 33 ngày vào năm 2020 xuống còn 26,7 ngày vào năm 2021 trên tất cả các ngành. Bán lẻ và thương mại điện tử thậm chí còn chứng kiến thời gian khắc phục giảm hơn 50% trong giai đoạn này.
Báo cáo cũng cho thấy, chi phí trung bình của một lỗ hổng nghiêm trọng đã tăng 20%, từ 2.500 USD vào năm 2020 lên 3.000 USD vào năm 2021. Ngoài ra, giá tiền thưởng trung bình cho một lỗi nghiêm trọng đã tăng 13% và 30% cho một lỗi được xếp hạng mức độ nghiêm trọng cao.
Theo finance.yahoo.com, HackerOne cung cấp cho các tổ chức quyền truy cập vào cộng đồng tin tặc lớn nhất thế giới. Được trang bị cơ sở dữ liệu lớn nhất về xu hướng lỗ hổng bảo mật và điểm chuẩn của ngành, cộng đồng hacker này giúp giảm thiểu rủi ro mạng bằng cách tìm kiếm, phát hiện và báo cáo an toàn về các điểm yếu bảo mật cho các tổ chức trong tất cả các ngành. Khách hàng của HackerOne bao gồm: Bộ Quốc phòng Hoa Kỳ, Dropbox, General Motors, GitHub, Goldman Sachs, Google, Hyatt, Lufthansa, Microsoft, MINDEF Singapore, Nintendo, PayPal, Slack, Starbucks, Twitter và Verizon Media. HackerOne được xếp hạng 5 trong danh sách "Các công ty đổi mới nhất thế giới" của Fast Company vào năm 2020.
Theo infosecurity-magazine.com; finance.yahoo.com