Миллион рублей за баг. Как зарабатывают на чужих ошибках

-

Сегодня мы узнали, что россиянин Андрей Леонов получил от Facebook рекордный гонорар за нахождение ошибки ($ 40 000), позволявшей взломать социальную сеть. Специалист по кибербезопасности рассказал «360» о том, что он был в курсе программы поощрения Facebook, которая открыта с 2011 года. Он заинтересовался вопросами информационной безопасности в 2007 году, а в конце 2013, когда информационная безопасность и программы поощрения исследователей стали входить в моду, стал в них участвовать.

«Да, я находил серьезные уязвимости в разных сервисах и раньше. Но подавляющее их большинство — это закрытые программы», о подробностях специалист распространяться не стал.

Подобные случаи щедрости со стороны компаний отнюдь не редкость — хакеры очень часто помогают крупным сайтам не понести убыток от реальных кибератак. Краудсекьюрити сейчас в тренде среди компаний даже с самыми надежными системами защиты. В доказательство приводим крупные сервисы, предлагающие заработать виртуальным взломщикам «из народа», и комментарии экспертов.

Одноклассники

В 2013 году социальная сеть «ОК» запустила своеобразный конкурс по поиску багов под названием «Нация тестирует». Первые три человека, обнаружившие недочеты в системе, получили 500$. Для конкурсантов был задан критерий «серьезности» для ошибки программиста:

«К рассмотрению принимаются уязвимости, то есть недостатки в системе, используя которые, можно нарушить ее целостность и вызвать неправильную работу сайта. Уязвимость может быть результатом ошибок программирования, недостатков, допущенных при проектировании системы сайта, ненадежных паролей, вирусов и других вредоносных программ, скриптовых, а также SQL-инъекций, позволяющих украсть пользовательскую сессию, загрузить контент (фото, видео и т. д.), не имея на это права …»

Компания как будто спрятала баги по сайту в виде пасхальных яиц и решила похвалить самого находчивого хакера, который их отыщет. На самом деле этот конкурс не что иное, как озабоченность тем, что собственные программисты не справляются и берут за работу слишком много. Краудсекьюрити в действии.

Как говорится, скупой платит дважды: с июля 2015 социальная сеть возобновила предложение. С этого момента любой желающий может доложить администрации о найденных уязвимостях и получить от $100.

ВКонтакте

Подобная практика, правда менее официальная, существует и «ВКонтакте»: молодые хакеры Артем Дизычев и Олег Варнов нашли XSS-уязвимость, дающую опытному программисту доступ к чужим аккаунтам. Они пишут:

«Баг был очень серьезным, ведь активная уязвимость дает доступ к действиям от лица другого пользователя. Мы бы могли спокойно рассылать заявки в друзья, переводить себе голоса или, более того, могли бы и Дурова зацепить».

Но добросовестные хакеры сообщили об ошибке администрации и получили за это от начальника отдела разработок по 150 000 рублей во внутренней валюте VK — голосах.

Руководитель проектов по информационной безопасности в компании КРОК (компания-системный интегратор, входит в топ-10 крупнейших IT-компаний РФ) Павел Луцик поделился с «360» своим экспертным мнением:

«Это достаточно популярная практика, многие софтовые компании, которые улучшают свои продукты, объявляют конкурсы на поиск „дыр“. Можно вспомнить такой случай: на заводе в Иране по обогащению урана использовался контроллер Siemens, в систему проник вирус Stuxnet и нарушил работу завода, фактически остановив производство. Чтобы сохранить свое лицо, Siemens выставил для всех желающих на обозрение свой контроллер для публичного поиска уязвимостей в своей системе. Правда, если хакер сотрудничает с официальной компанией, то, наверное, он уже не взломщик, а „white hat hacker“ (этичный хакер). Наша компания также иногда привлекает таких людей, когда для реализации проекта необходимы специфические компетенции. В любой компании, занимающейся информационной безопасностью, есть пул таких наемников».

Google

Богатыми поощрениями хакеров славится Google — в 2010 году компания анонсировала программу Chrome Rewards Program, в рамках которой выплатила взломщикам в общей сложности порядка $ 4 млн. Победитель контеста «Pwn2Own», 19-летний хакер под ником Pinky Pie, получил максимальный приз — $ 60 000. Всего призовой фонд конкурса составил $ 1 млн. Американский хакер, взломавший iPhone и Sony PlayStation3, Джордж Хоц получил $ 150 00 и был радушно приглашен компанией на стажировку.

Более того, в 2015 году поисковик открыл программу грантов для хакеров Vulnerability Research Grants. Выплаты варьируются от $ 500 USD до $ 3 133, причем для получения денег не требуется предъявить ошибки системы — их можно искать в процессе стажировки. Как видно, это имеет свой эффект — за время сотрудничества с хакерами было раскрыто более 500 существенных багов.

Яндекс

В 2015 году главный отечественный поисковик объявил «месяц на поиск уязвимостей» в своем браузере. Приз за первое место составил 500 000 рублей, за второе и третье — 300 000 и 150 000 соответственно. В условиях конкурса «Яндекс» пишет, что их интересуют «уязвимости, позволяющие нарушить конфиденциальность или целостность пользовательских данных». Поисковик пытался выяснить, есть ли в его системе защиты слабые места, о которых штатные программисты и не подозревают, и похоже преуспел в этом.

Также с 2010 года при поддержке «Яндекса» и Digital Security в Москве проводится международная конференция Zeronights, посвященная кибербезопасности. В рамках конференции проводится конкурс HackQuest, в ходе которого участникам тоже предстоит взломать программы и обходить защиту. Победители получают бесплатное приглашение на конференцию и место в Зале славы, что среди хакеров считается очень достойной наградой.

Продюсер: Мария Мешкова

    Пока ничего не найдено

    Задизайнено в Студии Артемия Лебедева Информация о проекте