«Большая рыба» для белых хакеров: к российской программе Bug Bounty присоединилась VK Group

Руководство платформы bugbounty.standoff365.com объявило о запуске программ по поиску уязвимостей проектов от VK Group. На сегодняшний день для исследования предлагаются

  • социальные сети ВКонтакте и Одноклассники;
  • образовательные платформы GeekBrains, Skillbox, Алгоритмика, Тетрика и Учи.ру;
  • почтовый сервис Mail.ru;
  • облачная платформа VK Cloud Solutions;
  • набор коммуникационных сервисов TAPM (Типовое Автоматизированное Рабочее Место),
  • а также «все другое» — специальный раздел для приема отчетов об уязвимостях в прочих продуктах VK.

Размер обещанного вознаграждения варьируется от 3 тысяч до 1,8 млн рублей. Самыми «дорогими» будут высококритичные уязвимости, такие как удаленное выполнение кода (RCE) для VK ID – сервиса единой авторизации для всех проектов экосистемы VK.

Bug Bounty — это программа, в рамках которой компания привлекает сторонних специалистов по безопасности для тестирования своего программного обеспечения на уязвимости. Говоря простым языком, это определенный свод правил взаимодействия с информационными ресурсами компании. Обычно в него входит регламент проведения программы, перечень ресурсов, описание принимаемых уязвимостей, размеры вознаграждения. В классическом исполнении это описание того, что может взломать белый хакер и сколько получит за ту или иную уязвимость. Компании это дает, в первую очередь, непрерывный процесс проверки инфраструктуры, продуктов или ее специалистов на уязвимость. Энтузиасты с разным уровнем знаний, инструментарием и в разных часовых поясах безопасно атакуют ресурсы компании, позволяя закрывать найденные уязвимости до того, как ими воспользуются настоящие злоумышленники.

После ухода из России большинства известных компаний-организаторов программ BugBounty, в числе которых была и самая  известная – HackerOne, закрыть дефицит вызвалась компания PositiveTechnologies, создавшая в мае этого года платформу bugbounty.standoff365.com. Однако, несмотря на интерес со стороны белых хакеров, довольно долгое время системы на исследование предлагали всего две компании – «Азбука вкуса» и сама Positive Technologies. Выход на арену VK Group, планирующей разместить на платформе более 40 своих проектов, возможно, вдохнет новую жизнь в развитие такой важной темы, как организация российских агрегаторов BugBounty.

Отметим, что и Минцифры в том же мае анонсировало создание первой государственной программы BugBounty уже в текущем году. Однако с того времени никаких новостей о том, что власти приступили к её реализации, не публиковалось.

С заботой о вашей безопасности, команда Origin Security

Оставить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *