Mail.ru Group выплатила исследователям больше $2 млн с 2014 года за найденные уязвимости в сервисах своей экосистемы Статьи редакции

Размер выплат составляет от $150 до $55 тысяч.

  • Всего за это время на международной платформе для экспертов по кибербезопасности HackerOne более 3400 исследователи безопасности прислали почти 5000 отчётов по программе поиска уязвимостей Mail.ru Group, рассказали vc.ru в компании.
  • За это время вознаграждение получили авторы более 2100 отчётов. Программа охватывает почти все проекты экосистемы VK: сервисы «Юла», Delivery Club, «Ситимобил», соцсети «Одноклассники», «ВКонтакте» и другие.
  • Mail.ru Group выплачивает вознаграждение исследователям каждую неделю. Его размер варьируется в зависимости от критичности обнаруженной уязвимости и составляет от $150 до $55 тысяч. Свои программы bug bounty есть также у «Одноклассников» и «ВКонтакте».
  • Программа выплат за найденные уязвимости есть и у «Яндекса»: в начале июня компания увеличила максимальную выплату до 750 тысяч рублей.
0
18 комментариев
Написать комментарий...
John Fima

За 7 лет всего 2 миллиона 🤦
А сколько отказались выплачивать?  Есть статистика?

Ответить
Развернуть ветку
Георгий Габолаев

Я не защищаю/не работаю в MRG, но мне кажется, это вы сейчас беспочвенно набросили на ровном месте.

Как *бывший* сотрудник я совершенно точно знаю, что выплаты по h1 там весьма (иногда даже с перебором) высоки, если сравнивать с остальными компаниями (причём не только с Российскими) на этой площадке.

Ответить
Развернуть ветку
Захар Возмилов

Абсолютно. Человек, который нисколько не понимает в теме просто набросил говна на вентилятор :)

Ответить
Развернуть ветку
John Fima

Вот чёрт, я сказал правду и набросил говна. 🙂
 Если сам разбираешься лучше меня - кидай пруфы что я не прав.
2 миллиона это очень мало, очень, тем более за 7 лет. 

Ответить
Развернуть ветку
Захар Возмилов

Не вижу смысла спорить с человеком, который пытается строить экспертизу не на опыте, а на своем посредственно-субъективном мнении. Такую вещь как гугл специально для вас придумали :)

Ответить
Развернуть ветку
Иванов Олег

Ну вы откройте статистику по другим крупным компаниям, даже западным. И поймете что это много для данной платформы. 

Ответить
Развернуть ветку
Sergei Timofeyev

Своим людям платят, но не более 4 тысяч, чтобы не попасть под налог.

Ответить
Развернуть ветку
Иванов Олег

Что за налог?

Ответить
Развернуть ветку
Sergei Timofeyev

ст. 217 п. 28 НК РФ.

28) доходы, не превышающие 4000 рублей, полученные по каждому из следующих оснований за налоговый период:
стоимость призов в денежной и натуральной формах, полученных налогоплательщиками на конкурсах и соревнованиях, проводимых в соответствии с решениями Правительства Российской Федерации, законодательных (представительных) органов государственной власти или представительных органов местного самоуправления;
Ответить
Развернуть ветку
Иванов Олег

Но только по правилам работникам нельзя участвовать, т.к. у них есть преимущество.

Ответить
Развернуть ветку
Николай Бараненко

почему мне МТС Банк ничего не выплачивает когда я нахожу проблемы с их микросервисами и выкладываю в виде стори в инстаграме?!)

Ответить
Развернуть ветку
Григорий Соколов

Потому что 
1. Как я понимаю Вы находите не уязвимости а какие-то проблемы не устраивающие Вас
2. Вы их выкладываете в сторис а не направляете в МТС

Ответить
Развернуть ветку
Николай Бараненко

какие-то проблемы не устаивающие меня - это мягко сказано: представьте себе сервис банка который не позврляет вам с вечера пятницы до утра переводить деньги со своих счетов на свою же карту. Чаще и вечер воскресенья такой же. Меня больше удивляет другое почему я до сих пор им пользуюсь.

Ответить
Развернуть ветку
Алексей Долгих - CVO Scout VC

OSINT направление растёт какими-то космическими темпами на нашем рынке, как и «исследования в относительно легальном поле», это не может не радовать. Больше конкуренция, лучше среда и качество информации которую владеющие техниками люди присылают другим людям растёт! Спасибо за статью, сделал репост.

Ответить
Развернуть ветку
Иванов Олег

Причём здесь OSINT вообще...

Ответить
Развернуть ветку
Алексей Долгих - CVO Scout VC

Всё очень просто, если не прав, поправьте, с него начинается путь исследования и уход в секретные и закрытые источники. Приведу пример, исследуется код написанный людьми в какой-то компании который доступен в открытом источнике информации, в больших компаниях программисты много работают с OSS, вклады в проекты с открытым исходным кодом загружаем в большом объёме в нашу сетку, эти данные агрегируются по всем найденным в соцсетях сотрудникам, обучается алгоритм на ошибки которые они с большей вероятностью могли сделать исходя из истории этих проектов и после отладки все это добро мы приходим на исследуемые источники от этой компании и проверяем на эти возможные ошибки и что-то близкое. Профит можно собирать с баунти программ правильно оформляя тикеты в сайтах для этих программ. Попытался своё представление описать, буду рад направлению ещё глубже чтобы разбираться в теме лучше.

Ответить
Развернуть ветку
Иванов Олег

Каждый баг по своему уникален, все что поддается автоматизации почти все уже найдено. Из осинта раз что сканеры всякие используют, для поиска поддоменов или страничек на сайте. Остальное все вручную ищут, с помощью всяких burp suite

Ответить
Развернуть ветку
Алексей Долгих - CVO Scout VC

Олег, спасибо большое за подсказку!

Ответить
Развернуть ветку
15 комментариев
Раскрывать всегда