/ Автор: orsecadmin | Оставить комментарий
Руководство платформы bugbounty.standoff365.com объявило о запуске программ по поиску уязвимостей проектов от VK Group. На сегодняшний день для исследования предлагаются
- социальные сети ВКонтакте и Одноклассники;
- образовательные платформы GeekBrains, Skillbox, Алгоритмика, Тетрика и Учи.ру;
- почтовый сервис Mail.ru;
- облачная платформа VK Cloud Solutions;
- набор коммуникационных сервисов TAPM (Типовое Автоматизированное Рабочее Место),
- а также «все другое» — специальный раздел для приема отчетов об уязвимостях в прочих продуктах VK.
Размер обещанного вознаграждения варьируется от 3 тысяч до 1,8 млн рублей. Самыми «дорогими» будут высококритичные уязвимости, такие как удаленное выполнение кода (RCE) для VK ID – сервиса единой авторизации для всех проектов экосистемы VK.
Bug Bounty — это программа, в рамках которой компания привлекает сторонних специалистов по безопасности для тестирования своего программного обеспечения на уязвимости. Говоря простым языком, это определенный свод правил взаимодействия с информационными ресурсами компании. Обычно в него входит регламент проведения программы, перечень ресурсов, описание принимаемых уязвимостей, размеры вознаграждения. В классическом исполнении это описание того, что может взломать белый хакер и сколько получит за ту или иную уязвимость. Компании это дает, в первую очередь, непрерывный процесс проверки инфраструктуры, продуктов или ее специалистов на уязвимость. Энтузиасты с разным уровнем знаний, инструментарием и в разных часовых поясах безопасно атакуют ресурсы компании, позволяя закрывать найденные уязвимости до того, как ими воспользуются настоящие злоумышленники.
После ухода из России большинства известных компаний-организаторов программ BugBounty, в числе которых была и самая известная – HackerOne, закрыть дефицит вызвалась компания PositiveTechnologies, создавшая в мае этого года платформу bugbounty.standoff365.com. Однако, несмотря на интерес со стороны белых хакеров, довольно долгое время системы на исследование предлагали всего две компании – «Азбука вкуса» и сама Positive Technologies. Выход на арену VK Group, планирующей разместить на платформе более 40 своих проектов, возможно, вдохнет новую жизнь в развитие такой важной темы, как организация российских агрегаторов BugBounty.
Отметим, что и Минцифры в том же мае анонсировало создание первой государственной программы BugBounty уже в текущем году. Однако с того времени никаких новостей о том, что власти приступили к её реализации, не публиковалось.
С заботой о вашей безопасности, команда Origin Security