Войти Карта сайта    Обратная связь
Авторизация
Восстановить пароль

Миллион рублей за баг. Как зарабатывают на чужих ошибках

Просмотров: Комментариев: 0 Напечатать

Сегодня мы , что россиянин Андрей Леонов получил от Facebook рекордный гонорар за нахождение ошибки ($ 40 000), позволявшей взломать социальную сеть. Специалист по кибербезопасности рассказал «360» о том, что он был в курсе поощрения Facebook, которая открыта с 2011 года. Он заинтересовался вопросами информационной безопасности в 2007 году, а в конце 2013, когда информационная безопасность и программы поощрения исследователей стали входить в моду, стал в них учавствовать.

«Да, я находил серьёзные уязвимости в разных сервисах и раньше. Но подавляющее их большинство — это закрытые программы» — о подробностях специалист распространяться не стал.

Подобные случаи щедрости со стороны компаний отнюдь не редкость — хакеры очень часто помогают крупным сайтам не понести убыток от реальных кибератак. Краудсекьюрити сейчас в тренде среди компаний даже с самыми надежными системами защиты. В доказательство приводим крупные сервисы, предлагающие заработать виртуальным взломщикам «из народа» и комментарии экспертов.

Одноклассники

В 2013 году социальная сеть «ОК» запустила своеобразный конкурс по поиску багов под названием «Нация тестирует». Первые три человека, обнаружившие недочеты в системе, получили 500 $. Для конкурсантов был задан критерий «серьезности» для ошибки программиста:

«К рассмотрению принимаются уязвимости, то есть недостатки в системе, используя которые, можно нарушить её целостность и вызвать неправильную работу Сайта. Уязвимость может быть результатом ошибок программирования, недостатков, допущенных при проектировании системы Сайта, ненадежных паролей, вирусов и других вредоносных программ, скриптовых, а также SQL-инъекций, позволяющих украсть пользовательскую сессию, загрузить контент (фото, видео и т. д.), не имея на это права …»

Компания как будто спрятала баги по сайту в виде пасхальных яиц и решила похвалить самого находчивого хакера, который их отыщет. На самом деле этот конкурс — не что иное, как озабоченность тем, что собственные программисты не справляются, и берут за работу слишком много. Краудсекьюрити в действии.

Как говорится, скупой платит дважды: с июля 2015 социальная сеть возобновила предложение. С этого момента любой желающий может доложить администрации о найденных уязвимостях и получить от $ 100.

Вконтакте

Подобная практика, правда менее официальная, существует и «Вконтакте»: молодые хакеры Артем Дизычев и Олег Варнов нашли XSS-уязвимость, дающую опытному программисту доступ к чужим аккаунтам. Они пишут:

«Баг был очень серьезным, ведь активная уязвимость дает доступ к действиям от лица другого пользователя. Мы бы могли спокойно рассылать заявки в друзья, переводить себе голоса или, более того, могли бы и Дурова зацепить».

Но добросовестные хакеры сообщили об ошибке администрации и получили за это от начальника отдела разработок по 150 000 рублей во внутренней валюте VK — голосах.

Руководитель проектов по информационной безопасности в компании КРОК (компания-системный интегратор, входит в топ-10 крупнейших IT-компаний РФ) Павел Луцик поделился с «360» своим экспертным мнением:

«Это достаточно популярная практика, многие софтовые компании, которые улучшают свои продукты, объявляют конкурсы на поиск „дыр“. Можно вспомнить такой случай: на заводе в Иране по обогащению урана использовался контроллер Siemens, в систему проник вирус Stuxnet и нарушил работу завода, фактически остановив производство. Чтобы сохранить свое лицо, Siemens выставил для всех желающих на обозрение свой контроллер для публичного поиска уязвимостей в своей системе. Правда, если хакер сотрудничает с официальной компанией, то, наверное, он уже не взломщик, а „white hat hacker“ (этичный хакер). Наша компания также иногда привлекает таких людей, когда для реализации проекта необходимы специфические компетенции. В любой компании, занимающейся информационной безопасностью, есть пул таких наемников».

Google

Богатыми поощрениями хакеров славится Google — в 2010 году компания анонсировала программу Chrome Rewards Program, в рамках которой выплатила взломщикам в общей сложности порядка $ 4 млн. Победитель контеста «Pwn2Own», 19-летний хакер под ником Pinky Pie получил максимальный приз — $ 60 000. Всего призовой фонд конкурса составил $ 1 млн. Американский хакер, взломавший iPhone и Sony PlayStation3 Джордж Хоц получил $ 150 00 и был радушно приглашен компанией на стажировку.

Более того, в 2015 году поисковик открыл программу грантов для хакеров Vulnerability Research Grants. Выплаты варьируются от $ 500 USD до $ 3 133, причем для получения денег не требуется предъявить ошибки системы — их можно искать в процессе стажировки. Как видно, это имеет свой эффект — за время сотрудничества с хакерами было раскрыто более 500 существенных багов.

Яндекс

В 2015 году главный отечественный поисковик объявил «месяц на поиск уязвимостей» в своем браузере. Приз за первое место составил 500 000 рублей, за второе и третье — 300 000 и 150 000 соответственно. В условиях конкурса «Яндекс» пишет, что их интересуют «уязвимости, позволяющие нарушить конфиденциальность или целостность пользовательских данных». Поисковик пытался выяснить, есть ли в его системе защиты слабые места, о которых штатные программисты и не подозревают, и, похоже, преуспел в этом.

Также с 2010 года при поддержке «Яндекса» и Digital Security в Москве проводится международная конференция Zeronights, посвященная кибербезопасности. В рамках конференции проводится конкурс HackQuest, в ходе которого участникам тоже предстоит взломать программы и обходить защиту. Победители получают бесплатное приглашение на конференцию и место в Зале славы, что среди хакеров считается очень достойной наградой.

Система

Читайте также:


Опубликованы кадры пожара в госпитале Бурденко

В здании госпиталя НИИ нейрохирургии им. Н. Н. Бурденко в Москве . Возгорание возникло на крыше медучреждения в пятницу, 20 января. Сайт «360» публикует кадры пожара. Здание расположено по адресу: улица 4-я Тверская-Ямская, дом 16. Огонь охватил площадь в 50 квадратных метров. Пожару присвоен…


Дональд Трамп – президент Соединенных Штатов

Дональд Трамп принес присягу и официально вступил в должность президента Соединенных Штатов Америки. В настоящий момент он выступает с инаугурационной речью. «Важна не партия, которая находится у власти. Важно то, что власть вернулась к народу», — заявил Трамп. Трамп поблагодарил Барака Обаму за содействие в передаче…


Экономист об «ужасе Давоса»: кризис только у России

В мировой экономике нет глобальных проблем, которые можно было бы сравнить с кризисом 2008−2009 годов, как это сделал глава «Роснано» Анатолий Чубайс на экономическом форуме в Давосе. Такое мнение в комментарии сайту «360» высказал директор Института актуальной экономики, лидер общественно-политического движения…

Комментарии 0

Comments are closed.

Написать комментарий

Другие курьезы:

Почему женщинам так нравятся салоны красоты

Женщины, как никто другой знают, что мужчины любят глазами. Для многих это главная причина тратить много сил и времени на совершенствование своей внешности. Уверенно себя чувствуют те дамы, которые знают, что выглядят они безупречно. Поэтому...

3 0

Продаем подержанный автомобиль

Продажа подержанного автомобиля – дело непростое, так как результат сделки должен полностью удовлетворять интересы обоих ее участников, продавца и покупателя. Чтобы все прошло, как по маслу, опирайтесь на рекомендации профессионалов, представителей https://www.avtolider7.ru/, компании, которая знает,...

3 0

Общение и знакомства в интернете: преимущества специальных сайтов

В последние годы жизнь современного человека стала суматошной и насыщенной делами. На отдых, а тем более на знакомства, не остается свободного времени. Но находить новых друзей и завязывать отношения, вне зависимости от возраста, очень легко....

3 0

Легендарная игра Майнкрафт — обзор

Как играть в майнкрафт онлайн Пользователи Интернета конечно слышали о игре майнкрафт. Кто то играл, кто то смотрел видео на Ютубе, и наверное найдутся те, кто хотел попробовать, но не знал с чего начать. Сегодня...

3 0

Преимущества покупки квартиры через агентство недвижимости

На сегодняшний день купить квартиру либо дом можно без особых проблем, рынок просто переполнен предложениями о продаже квартир самого всевозможного типа. Но приобретение квартиры является делом весьма ответственным и важным для каждого человека, для каждой...

3 0

Современные морозильные лари и другое профессиональное оборудование для кафе – секрет успеха и процветания заведения

Морозильными ларями именуют морозилки, продукты для замораживания в которых размещаются горизонтально. Такая продукция очень востребована в магазинах, торговых сетях, на складах и т.д. Для домашнего обихода их используют редко, только в том случае, если необходимо...

3 0
Наверх

Поделиться ссылкой на выделенное