Войти Карта сайта    Обратная связь
Авторизация
Восстановить пароль

Миллион рублей за баг. Как зарабатывают на чужих ошибках

Просмотров: Комментариев: 0 Напечатать

Сегодня мы , что россиянин Андрей Леонов получил от Facebook рекордный гонорар за нахождение ошибки ($ 40 000), позволявшей взломать социальную сеть. Специалист по кибербезопасности рассказал «360» о том, что он был в курсе поощрения Facebook, которая открыта с 2011 года. Он заинтересовался вопросами информационной безопасности в 2007 году, а в конце 2013, когда информационная безопасность и программы поощрения исследователей стали входить в моду, стал в них учавствовать.

«Да, я находил серьёзные уязвимости в разных сервисах и раньше. Но подавляющее их большинство — это закрытые программы» — о подробностях специалист распространяться не стал.

Подобные случаи щедрости со стороны компаний отнюдь не редкость — хакеры очень часто помогают крупным сайтам не понести убыток от реальных кибератак. Краудсекьюрити сейчас в тренде среди компаний даже с самыми надежными системами защиты. В доказательство приводим крупные сервисы, предлагающие заработать виртуальным взломщикам «из народа» и комментарии экспертов.

Одноклассники

В 2013 году социальная сеть «ОК» запустила своеобразный конкурс по поиску багов под названием «Нация тестирует». Первые три человека, обнаружившие недочеты в системе, получили 500 $. Для конкурсантов был задан критерий «серьезности» для ошибки программиста:

«К рассмотрению принимаются уязвимости, то есть недостатки в системе, используя которые, можно нарушить её целостность и вызвать неправильную работу Сайта. Уязвимость может быть результатом ошибок программирования, недостатков, допущенных при проектировании системы Сайта, ненадежных паролей, вирусов и других вредоносных программ, скриптовых, а также SQL-инъекций, позволяющих украсть пользовательскую сессию, загрузить контент (фото, видео и т. д.), не имея на это права …»

Компания как будто спрятала баги по сайту в виде пасхальных яиц и решила похвалить самого находчивого хакера, который их отыщет. На самом деле этот конкурс — не что иное, как озабоченность тем, что собственные программисты не справляются, и берут за работу слишком много. Краудсекьюрити в действии.

Как говорится, скупой платит дважды: с июля 2015 социальная сеть возобновила предложение. С этого момента любой желающий может доложить администрации о найденных уязвимостях и получить от $ 100.

Вконтакте

Подобная практика, правда менее официальная, существует и «Вконтакте»: молодые хакеры Артем Дизычев и Олег Варнов нашли XSS-уязвимость, дающую опытному программисту доступ к чужим аккаунтам. Они пишут:

«Баг был очень серьезным, ведь активная уязвимость дает доступ к действиям от лица другого пользователя. Мы бы могли спокойно рассылать заявки в друзья, переводить себе голоса или, более того, могли бы и Дурова зацепить».

Но добросовестные хакеры сообщили об ошибке администрации и получили за это от начальника отдела разработок по 150 000 рублей во внутренней валюте VK — голосах.

Руководитель проектов по информационной безопасности в компании КРОК (компания-системный интегратор, входит в топ-10 крупнейших IT-компаний РФ) Павел Луцик поделился с «360» своим экспертным мнением:

«Это достаточно популярная практика, многие софтовые компании, которые улучшают свои продукты, объявляют конкурсы на поиск „дыр“. Можно вспомнить такой случай: на заводе в Иране по обогащению урана использовался контроллер Siemens, в систему проник вирус Stuxnet и нарушил работу завода, фактически остановив производство. Чтобы сохранить свое лицо, Siemens выставил для всех желающих на обозрение свой контроллер для публичного поиска уязвимостей в своей системе. Правда, если хакер сотрудничает с официальной компанией, то, наверное, он уже не взломщик, а „white hat hacker“ (этичный хакер). Наша компания также иногда привлекает таких людей, когда для реализации проекта необходимы специфические компетенции. В любой компании, занимающейся информационной безопасностью, есть пул таких наемников».

Google

Богатыми поощрениями хакеров славится Google — в 2010 году компания анонсировала программу Chrome Rewards Program, в рамках которой выплатила взломщикам в общей сложности порядка $ 4 млн. Победитель контеста «Pwn2Own», 19-летний хакер под ником Pinky Pie получил максимальный приз — $ 60 000. Всего призовой фонд конкурса составил $ 1 млн. Американский хакер, взломавший iPhone и Sony PlayStation3 Джордж Хоц получил $ 150 00 и был радушно приглашен компанией на стажировку.

Более того, в 2015 году поисковик открыл программу грантов для хакеров Vulnerability Research Grants. Выплаты варьируются от $ 500 USD до $ 3 133, причем для получения денег не требуется предъявить ошибки системы — их можно искать в процессе стажировки. Как видно, это имеет свой эффект — за время сотрудничества с хакерами было раскрыто более 500 существенных багов.

Яндекс

В 2015 году главный отечественный поисковик объявил «месяц на поиск уязвимостей» в своем браузере. Приз за первое место составил 500 000 рублей, за второе и третье — 300 000 и 150 000 соответственно. В условиях конкурса «Яндекс» пишет, что их интересуют «уязвимости, позволяющие нарушить конфиденциальность или целостность пользовательских данных». Поисковик пытался выяснить, есть ли в его системе защиты слабые места, о которых штатные программисты и не подозревают, и, похоже, преуспел в этом.

Также с 2010 года при поддержке «Яндекса» и Digital Security в Москве проводится международная конференция Zeronights, посвященная кибербезопасности. В рамках конференции проводится конкурс HackQuest, в ходе которого участникам тоже предстоит взломать программы и обходить защиту. Победители получают бесплатное приглашение на конференцию и место в Зале славы, что среди хакеров считается очень достойной наградой.

Система

Читайте также:


Опубликованы кадры пожара в госпитале Бурденко

В здании госпиталя НИИ нейрохирургии им. Н. Н. Бурденко в Москве . Возгорание возникло на крыше медучреждения в пятницу, 20 января. Сайт «360» публикует кадры пожара. Здание расположено по адресу: улица 4-я Тверская-Ямская, дом 16. Огонь охватил площадь в 50 квадратных метров. Пожару присвоен…


Дональд Трамп – президент Соединенных Штатов

Дональд Трамп принес присягу и официально вступил в должность президента Соединенных Штатов Америки. В настоящий момент он выступает с инаугурационной речью. «Важна не партия, которая находится у власти. Важно то, что власть вернулась к народу», — заявил Трамп. Трамп поблагодарил Барака Обаму за содействие в передаче…


Экономист об «ужасе Давоса»: кризис только у России

В мировой экономике нет глобальных проблем, которые можно было бы сравнить с кризисом 2008−2009 годов, как это сделал глава «Роснано» Анатолий Чубайс на экономическом форуме в Давосе. Такое мнение в комментарии сайту «360» высказал директор Института актуальной экономики, лидер общественно-политического движения…

Комментарии 0

Comments are closed.

Написать комментарий

Другие курьезы:

Квартира в новостройке и подводные камни сделки

Рынок недвижимости не стоит на месте, постоянно развиваясь. Многие специалисты данного сегмента считают, что именно сейчас самое благоприятное время для покупки квартиры в столице. Дело в том, что границы между элитным и бюджетным жильем постепенно...

3 0

Онлайн-касса для магазина обуви

Для магазина обуви онлайн касса требуется в обязательном порядке. Следует ознакомиться подробнее, какой именно должна быть онлайн касса для торговой точки, какое оборудование потребуется, как его правильно подобрать и где купить. Онлайн-касса для обувного магазина...

3 0

Гербицид «Милагро» — что это и для чего нужен, в чем особенности и преимущества?

На сегодняшний день существует множество разновидностей различных гербицидов, к примеру, есть гербициды сплошного воздействия либо селективного. Гербициды сплошного воздействия полностью уничтожают всю растительность, а вот селективные воздействуют лишь на сорняки. Одним из таких селективных гербицидов...

3 0

Как 100% не получить отказ по кредиту в банке

Практически каждый хоть раз в жизни занимал деньги у знакомых, брал микрозайм онлайн на карту в МФО или оформлял кредит в банке. Но не всегда удается получить необходимую сумму с первого раза. Всё зависит не...

3 0

Как получить кредит на большую сумму

Довольно часто люди хотят купить квартиру или сделать иную большую покупку, но не имеют на это денег. В таком случае они обращаются в банк за кредитом. Конечно, можно накопить необходимую сумму, однако это очень долгий...

3 0

Как с пользой провести воскресный день в столице

Как выбрать развлекательную программу? Как не странно, вопросом приятного времяпрепровождения в Москве, озадачены не только гости столицы, но и ее постоянные жители. Иногда они заранее планируют свою развлекательную программу, решая, куда сходить в воскресенье в...

3 0
Наверх

Поделиться ссылкой на выделенное