Соцсеть «ВКонтакте» перезапустила программу по поиску уязвимостей и усилила защиту данных пользователей
«ВКонтакте» обновила правила защиты пользователей и их данных
Социальная сеть «ВКонтакте» объявила о масштабных обновлениях защиты пользователей и их данных. Сервис перезапустил программу обнаружения уязвимостей Bug Bounty, повысив вознаграждение для исследователей безопасности за каждую найденную уязвимость, а также сделал обязательной двухфакторную аутентификацию для администраторов сообществ с числом подписчиков более 10 тысяч.
Обновления — часть инициативы VK Protect: она объединяет все технические решения, которые обеспечивают защиту пользователей экосистемы VK.
«ВКонтакте» запустила программу Bug Bounty в 2015 году. Ее участники исследуют безопасность социальной сети и получают выплаты за отчеты о потенциальных уязвимостях. Так компания быстрее находит ошибки и еще лучше защищает пользователей. За пять лет «ВКонтакте» выплатила исследователям 352 200 долларов (более 27 миллионов рублей). Они помогли обнаружить 865 уязвимостей. Вознаграждение получил 461 исследователь.
Особое внимание в обновленной программе Bug Bounty будет уделяться VK ID — сервису единой авторизации для всех проектов экосистемы VK. С ним проще держать данные в безопасности, ведь в личном кабинете можно управлять сразу всеми подключенными к VK ID проектами: завершать сессии, менять пароль при подозрительной активности, настраивать двухфакторную аутентификацию.
Через VK ID за пределами «ВКонтакте» авторизуются уже больше 51 миллиона пользователей. Чтобы дополнительно усилить их безопасность, социальная сеть выделила VK ID в отдельную категорию Bug Bounty: за найденные в сервисе уязвимости исследователи получат повышенное вознаграждение.
Сумма зависит от критичности уязвимости: чем она опаснее, тем больше может получить исследователь. Вознаграждение за обнаруженные баги вырастет на 20−50%, а на некоторые категории — в три раза. Выплаты для разного уровня угроз составят:
- низкий уровень — до 500 долларов;
- средний уровень — до 5000 долларов;
- высокий уровень — до 10 000 долларов;
- критический уровень — до 20 000 долларов (больше 1,5 миллиона рублей).
«ВКонтакте» сделала обязательной двухфакторную аутентификацию для администраторов пабликов с более чем 10-тысячной аудиторией. Таких сообществ на площадке сейчас более 140 тысяч.
Подтверждение входа дополнительно защитит профили руководителей сообществ, помешает посторонним получить доступ к пабликам и навредить подписчикам.
«В декабре мы объявили о запуске реформы системы безопасности и уже готовы рассказать о первых шагах. Введение обязательной двухфакторной аутентификации для администраторов средних и крупных сообществ позволит им реже попадаться на уловки злоумышленников. Мы подходим к вопросу безопасности комплексно: не только создаем технологические решения, но и учитываем человеческий фактор и занимаемся просвещением. Для нас также важно поддерживать комьюнити исследователей информационной безопасности — они помогают быстрее находить и закрывать уязвимости в сервисах, которыми пользуются миллионы людей», — заявил директор по информационной безопасности «ВКонтакте» Рустэм Газизов.
Информационная безопасность — ключевой приоритет для VK. Компания регулярно проводит внутренний и внешний аудиты, придерживается лучших мировых практик и привлекает сторонних исследователей.
Программа безопасности VK входит в топ-10 публичных программ 2020 года в рейтинге ZDNet.