12 апреля 2022

Багом марш!

Международная платформа HackerOne, выступающая посредником между компаниями, которые хотят проверить безопасность своих IT-систем, и хакерами, получающими вознаграждение за поиск в них уязвимостей (багов), остановила выплаты пользователям из России и Белоруссии. Потеряли возможность пользоваться HackerOne и российские компании, теперь они активно ищут альтернативы. Создание подобной платформы в России анонсировали «Ростелеком» и Positive Technologies, но достойного аналога пока нет, признают эксперты, и создавать его только для одной страны бессмысленно.

Крупнейшая в мире платформа по поиску уязвимостей HackerOne не выплатила белорусскому хакеру $25 тыс. за найденную уязвимость по программе Bug Bounty, поскольку он «из зоны санкций». Об этом он написал в своем аккаунте в Twitter, прикрепив цитату гендиректора HackerOne Мартена Микоса от 3 марта: «Хакеры из зон санкций не могут участвовать в финансовых трансакциях, поэтому вознаграждения за найденные ими уязвимости будут перенаправлены ЮНИСЕФ (Детский фонд ООН)». Позже 13 марта господин Микос уточнил в Twitter, что HackerOne пересылает вознаграждения хакеров на пожертвования, только если они сами так решат, но удерживает оплату хакерам из регионов, подпадающих под санкции (Россия, Белоруссия и т. д.).

 

Bug Bounty («охота за багами») — программа, в рамках которой компании выплачивают вознаграждение «белым хакерам» за найденные уязвимости в их информационных системах, сервисах или приложениях. Bug Bounty внедряют большинство международных корпораций, но в России пока публично о работе в этом направлении заявляли только крупные компании, в числе которых «Азбука вкуса», «Яндекс», Ozon, VK, Тинькофф-банк. Большинство из них предлагали выплаты через HackerOne.

У крупных российских компаний встречаются вознаграждения более $10 тыс. за найденные критические уязвимости, рассказал руководитель блока анализа защищенности Infosecurity a SoftlineCompany Андрей Найденов, тогда как в небольших они могут составлять менее $1 тыс. или не платиться вовсе.

Сейчас всех русских и белорусских исследователей удалили из HackerOne и других платформ, подтверждает независимый эксперт по информационной безопасности Денис Батранков.

«HackerOne приостановил деятельность на территории России, в этой связи у нас нет технической возможности продолжать программу Bug Bounty на этой платформе»,— рассказал “Ъ” представитель «Тинькофф». По его словам, российские компании рассматривают отечественный аналог платформы от «Ростелекома», но есть вопросы с привлечением на нее исследователей. У «Яндекса» были отдельные проекты на HackerOne, но компания полностью перешла на собственный сервис «Охота за ошибками», говорит источник, знакомый с ситуацией. В VK также ищут новые решения и платформы для продолжения программы Bug Bounty.

О том, что «Ростелеком» планирует создать аналог HackerOne, стало известно в сентябре 2021 года. Подобную платформу хотела запустить в 2022 году Positive Technologies (см. “Ъ” от 26 ноября 2021 года). Создание российской платформы Bug Bounty для выявления уязвимостей в государственных информационных системах обсуждают и в Минцифры, рассказали “Ъ” в министерстве. В Positive Technologies и «Ростелекоме» отказались от комментариев.

3 тысячи долларов составляло максимальное вознаграждение Ozon по программе Bug bounty в 2021 году.

Исследователи могут продолжить использовать HackerOne, зарегистрировав аккаунт на лицо, не связанное с РФ или Белоруссией, допускает ведущий инженер CorpSoft24 Михаил Сергеев. По его мнению, серьезных конкурентов у HackerOne в России нет: «Делать упор на разработку сервиса именно для РФ — плохой вариант. У нас мало компаний, которые выделяют деньги на такие услуги, аналог должен быть интернациональным».

Сложности с выплатой вознаграждения по Bug Bounty наносят ущерб не только исследователям, но и компаниям и их клиентам — снижается уровень защиты пользователей во всем мире, отмечает главный технологический эксперт «Лаборатории Касперского» Александр Гостев: «Поиск уязвимостей должен вестись непрерывно, только так можно снизить потенциальные риски кибербезопасности».

Источник: Коммерсант

Читайте наш кейс на РБК: как ИТ-компании прокачать бренд работодателя

16 июля 2024

Как вырастить штат ИТ-компании в 15 раз за 3 года - рассказываем в совместном кейсе с IT_ONE

 

Ася Власова – в шоу «Стражи Леса» на радио «ЭХО лОСЕЙ»

10 июля 2024

Ася Власова, сооснователь и управляющий партнёр агентства iTrend, приняла участие в шоу “Стражи Леса” на радио "ЭХО лОСЕЙ". Вместе с Еленой Бочеровой из компании "Киберпротект" поговорили о том, как выстраивать PR и коммуникации в ИТ.

 

Приглашаем на конференцию для директоров по маркетингу и PR-руководителей ИТ-компаний 

5 июня 2024

На мероприятии встретятся директора по маркетингу и PR-руководители крупных российских ИТ-компаний.

 

Экс-редактор Comnews присоединился к команде iTrend

30 мая 2024

На позицию руководителя проектов коммуникационного агентства iTrend вышел Денис Шишулин – ранее многолетний выпускающий редактор издательской группы ComNews, одного из самых авторитетных ИТ-изданий в России. В iTrend Денис будет отвечать за стратегическое руководство ряда PR-проектов с ИТ-компаниями, оперативное взаимодействие со СМИ, координацию работы команд, а также за качество проектов, которыми руководит в агентстве.

 

iTrend — в числе топ-агентств России по версии «Рейтинга Рунета»

28 мая 2024

Опубликованы итоги ранкинга коммуникационных агентств от «Рейтинга Рунета–2024». iTrend занял лидирующие места в ключевых для агентства срезах — PR в ИТ-отрасли, SMM в ИТ-отрасли, PR и SMM на аудиторию b2b enterprise, PR-аналитика, PR первых лиц и др.

 
Все новости iTrend