В «Лаборатории Касперского» назвали самые дорогостоящие уязвимости ПО в истории
Эксперты по информационной безопасности «Лаборатории Касперского» составили топ самых дорогостоящих уязвимостей ПО, пишет «Газета.ру». Специалисты объяснили, что в них особенного и почему за ними охотятся не только хакеры, но и сотрудники спецслужб из разных государств.
Самой ценной считается «уязвимость нулевого дня» или 0-day. Так называют бреши в программном обеспечении, о которых уже стало известно хакерам, но их еще не успели выявить и ликвидировать сами разработчики этого ПО. Цифра ноль в названии означает количество дней, которое есть у разработчиков на исправление уязвимости до того, как она может быть использована. Такие уязвимости продаются в даркнете и на баг-баунти – онлайн-площадках, где крупные компании сами размещают заказы на поиск в своих программных продуктах и инфраструктуре критических уязвимостей. В даркнете программы скупают преступники и агенты спецслужб. А на платформах баг-баунти работают «белые хакеры», которые по сути являются тестерами, получающими вознаграждение от компаний. Одна из самых больших выплат за 0-day была переведена в 2022 году создателями криптовалюты Wormhole хакеру под ником satya0x, который обнаружил проблему в коде самого криптоактива. Это могло привести к блокировке средств пользователей. За свою находку он получил 10 млн долларов.
На втором месте – похожая уязвимость, но в другой блокчейн-системе от компании Aurora. За ее обнаружение «белый» хакер получил 6 миллионов долларов.
Тройку лидером замыкает корпорация Google, которая заплатила 605 тысяч долларов хакеру gzobqq за обнаружение целой группы из пяти уязвимостей в операционной системе Android. Аналитики «Лаборатории Касперского» утверждают, что ни до, ни после этого случая Google не платила безопасникам такие суммы. Ошибка в ПО могла позволить злоумышленникам получать почти неограниченный контроль над системой.
Всего несколько дней назад криптобиржа Coinbase выплатила 500 тысяч долларов специалистам, которые обнаружили уязвимость в системе безопасности криптовалюты Sui. Эксперты «Лаборатории Касперского» утверждают, что выплата стала самой большой в истории HackerOne – самой известной платформе баг-баунти.
Рекордной выплатой считается гонорар в сумме 15 млн долларов, который запросил хакер Intel Broker в 2024 году. Однако нет информации о том, что кто-то выплатил ему такую сумму, рассказывает технический директор компании «Гарда» Лука Сафонов. При этом эксперты отметили, что миллионные выплаты за 0-day – скорее исключение. Как правило, предложения на площадках в даркнете стоят около 50-100 тысяч долларов.