Выплатили хакерам 35 миллионов рублей — и это легально

Как компании платят миллионы рублей «белым» хакерам за найденные уязвимости в своей системе безопасности

Привет, это Консоль.Про. Мы помогаем компаниям сотрудничать с исполнителями: автоматизируем подписание договоров и заданий, проводим оплаты, формируем чеки и акты, чтобы все было удобно и по закону.

Сегодня рассказываем, как с помощью Консоль.Про получают выплаты «белые» хакеры.

Наш клиент — Standoff 365, это платформа Bug Bounty от компании Positive Technologies. Standoff 365 помогает клиентам выстраивать и укреплять систему безопасности.

На платформе Bug Bounty клиенты размещают свои IT-системы и сервисы, а багхантеры ищут уязвимости и пытаются реализовать атаки и недопустимые для компании события. За найденные уязвимости багхантеры получают вознаграждения. Всего по программе Bug Bounty багхантеры сдали 2 600 отчетов и получили 35 миллионов рублей.

Головной офис в Москве, а клиенты по всей России. Несколько десятков клиентов крупных компаний: холдинг VK, Tinkoff, Азбука вкуса, Rambler&Co (издания Лента.ру, Газета.ру, Рамблер), Юла, Консоль.Про.

Компания Standoff 365 называет хакеров, которые ищут уязвимости, «белыми» хакерами, или «исследователями». Дело в том, что в России слово «хакер» все еще имеет негативную окраску.

Мы для удобства будем называть «белых» хакеров просто хакерами — но держим в уме, что они не взламывают код, а только исследуют его и ищут уязвимости, помогая компаниям защищаться.

Всего с компанией через Консоль.Про сотрудничают почти 70 хакеров — из России и за рубежом. Они ищут уязвимости, за найденные — получают выплаты через платформу Консоль.Про.

Мы не указываем названия компаний и опускаем некоторые детали — потому что все под NDA, и информацию разглашать нельзя, но все описанные случаи реальны и имеют связь с действительностью.

Суммы отличаются в зависимости от компании и типа уязвимости: низкий, средний, высокий или критический. Больше всего получают багхантеры за критические уязвимости, например:

2,4 миллиона рублей;
2 миллиона рублей;
четверо получили 1,2 миллиона рублей.
450 тысяч рублей за угон аккаунта в один клик

Из-за уязвимости на клиентской стороне злоумышленники могли получить доступ к аккаунту любого пользователя. Для этого пользователю достаточно было перейти по специально сформированной ссылке в приложении компании.

Хакер за найденную уязвимость получил 450 000 ₽, а уязвимость исправили через два часа после получения отчета.

Хакеры получают задания на платформе Standoff 365. Потом хакер исследует код компании и ищет уязвимости. Когда что-то находит, готовит отчет об уязвимости: какие шаги привели к уязвимости, какие действия он выполняет. Например: «Заходим на страницу, нажимаем на кнопку Напечатать. Происходит такое-то и такое-то. Вот к чему это может привести: 1…, 2…, 3…».

Багхантер прикладывает пруфы — скриншоты. Некоторые хакеры даже дают советы, как закрыть найденную уязвимость. Но обычно подробного сценария достаточно, чтобы устранить баг.

Когда хакер сдает отчет по найденной уязвимости, а клиент на платформе его принимает, хакер получает уведомление — такой-то отчет принят, такое-то вознаграждение получено. Если багхантер самозанятый или ИП, он получает выплату через Консоль.Про.

«Консоль.Про сначала была нашим клиентом — разместила свою инфраструктуру, чтобы хакеры нашли уязвимости. Такой подход к повышению надежности сервиса и желание упростить и ускорить выплату вознаграждений стали стимулами для нашего дальнейшего сотрудничества.
Мы начали работать с Консоль.Про — и в первый же месяц 70% хакеров перешли на платформу и захотели зарегистрироваться как ИП или самозанятые. В мае этот процент уже превысил 90, а в июне мы провели почти все выплаты через платформу — так они проходят быстрее.
Еще удобная фишка Консоль.Про — нам не нужно проверять, является ли хакер самозанятым, не превысил ли он лимит дохода. Это было конкурентным преимуществом Консоль.
Для меня как для руководителя бизнеса весь процесс онбординга был мегаприятный и простой. Все прозрачно, быстро, понятно».
Роман Дворянкин, директор по развитию бизнеса Standoff 365

Помогаем удобно платить самозанятым, даже если они не хакеры.

Попробуйте демо Консоль.Про. Заполните форму на сайте, а наш специалист объяснит, как мы можем вам помочь. Сделаем так, что на онбординг самозанятого уйдет не 5 дней, а 15 минут, а на выплату — не 3 месяца, а 3 минуты.

Удобное сотрудничество с самозанятыми