Ein Report sieht eine deutliche Zunahme der Aktivitäten freundlicher Hacker: Die Zahl dieser Bug-Jäger stieg laut Hackerone im vergangenen Jahr auf der hauseingenen Plattform um 63%. Für gemeldete Schwachstellen wurden über das Bug-Bounty-Programm von Hackerone im Jahr 2020 Prämien von über 40 Millionen US-Dollar ausbezahlt.

Die aktivsten Bug-Jäger meldeten im Schnitt 20 Schwachstellen. Neun Hacker hätten seit 2019 mehr als 1 Million Dollar auf der Plattform verdient, einer hat vergangenes Jahr die 2-Millionen-Dollar-Marke überschritten.

Laut dem Hackerone-Report ist der typische Bug-Jäger unter 25 Jahre alt und verfügt über einen technischen Hintergrund. 37% haben ein Studium absolviert und rund ein Viertel will seinen Lebensunterhalt im IT-Security-Bereich verdienen.

Wie aus dem Jahresbericht weiter hervorgeht, ist der finanzielle Aspekt zwar wichtig, aber nicht der einzige Motivationsfaktor. Zuoberst auf der Liste steht mit 85% das Ziel, zu lernen. Fast der Hälfte der Hackerone-Community würde eine Schwachstelle auch über ein Vulnerability-Disclosure-Programm (VDP) melden, selbst wenn es dafür keine finanzielle Entschädigung gibt. Dennoch gaben 75% an, dass das Geld ein Motivationsfaktor für ihre Aktivitäten sei. Gut zwei Drittel meinen, die Bug-Bounty-Aktivität fördere ihre Karriere-Aussichten und 57% wollen ihren Ruf verbessern.

Damit ein gut gesinnter Hacker eine Schwachstelle melden kann, braucht es von den Firmen eine Vulnerability Disclosure Policy. Diese bietet einen geregelten Rahmen für die Suche und das Melden gefundener Lücken. Fast ein Drittel der White-Hat-Hacker sagte, eine Schwachstelle nicht gemeldet zu haben, weil es keine Möglichkeit dazu gegeben habe.

Gibt es von den Firmen keine Policies, laufen die Hacker Gefahr strafrechtlich verfolgt zu werden. Auch in der Schweiz gibt es erste Unternehmen, die solche Regelsysteme publiziert haben, darunter die SBB. Andere Unternehmen wie Post und Swisscom haben zudem Bug-Bounty-Programme ins Leben gerufen. 

Obwohl 26% der Hacker sagen, dass es schwieriger werde, Fehler zu finden, gaben 45% der Hacker an, in den letzten 12 Monaten neue Schwachstellen gefunden zu haben. Einen Anstieg gebe es vor allem bei fehlerhaften Cloud-Konfigurationen, was mit dem Wechsel ins Homeoffice zu tun habe.

Markant gewachsen sei auch die Zahl der Meldungen in den Bereichen Information Disclosure, Zugriffskontrolle und Authentifizierung sowie Privilegien-Eskalationen.