Mail.Ru Group
2 512

Bug Bounty в Mail.ru Group: райское наслаждение, выраженное в реальных деньгах

В этом году первой программе поиска уязвимостей в Mail.ru Group исполняется 5 лет, за время ее существования было выплачено свыше 300 тысяч долларов.

В закладки

Позже мы запустили программы поиска уязвимостей для ВКонтакте, Одноклассников и ICQ – суммарный размер выплат по всем достигает 700 тысяч долларов. Сегодня наличие такой программы является своего рода стандартом для многих крупных технологических компаний. Зачем же бизнесу «выносить сор из избы», а баг-хантерам – работать «в белую»?

Черно-белое кино

Довольно часто в СМИ мелькают заметки о том, что хакеры в очередной раз что-то взломали, и в сеть «утекли» откровенные фото знаменитостей. Надо сказать, что взломщики становятся все более продвинутыми, что обязывает бизнес постоянно быть начеку и повышать уровень информационной безопасности своих продуктов.

Bug bounty – то есть поиск ошибок силами сторонних консультантов – необходимая часть процесса обеспечения безопасности. Программа как раз призвана привлечь для этого так называемых «белых хакеров». Это движение становится все более популярным, и сегодня люди даже специально учатся, чтобы стать «белыми хакерами». Подобная образовательная программа есть, например, у GeekBrains.

Первая программа bug bounty была запущена в далеком 1995 году компанией Netscape. Так что движение «белых хакеров» скоро отметит свое 25-летие. Сегодня же деньги за найденные уязвимости выплачивают практически все крупные игроки IT-рынка: Google, Intel, Tesla, Uber и многие другие. Apple, правда, идет по своему пути: компания пригласила к сотрудничеству нескольких исследователей и предложила им довольно ограниченный круг задач. Так что, найдя уязвимость, не стоит рассчитывать на материальное вознаграждение – вас только занесут в «зал славы», что безусловно, приятно, но «спасибо», как известно, в карман не положишь.

Однако денежное вознаграждение – не единственная мотивация охотников за багами. В процессе поиска уязвимостей они также совершенствуют свои навыки, формируют портфолио и зарабатывают себе имя в IT-сообществе.

Bug bounty для компаний

Пул задач, которые посредством bug bounty программ решает бизнес, еще более широк. Как ни удивительно, программа bug bounty – это не только про безопасность (хотя про нее в первую очередь). Среди других ее функций:

  • снижение репутационных рисков;
  • продвижение бренда в IT-сообществе;
  • работа с коммьюнити;
  • совершенствование навыков штатных специалистов по информационной безопасности, разработчиков.

Быть или не быть?

Как видите, bug bounty программа способна дать бизнесу много преимуществ, которые не ограничиваются вопросами безопасности. Но к ее запуску нужно подходить со всей серьезностью, обеспечив должный уровень готовности технологических, человеческих и финансовых ресурсов.

Первое – у компании должны быть налажены процессы работы с уязвимостями или хотя бы должна быть возможность их запустить. Второе – к запуску bug bounty программы должны быть готовы сотрудники. Наконец, деньги. Компания должна выделить бюджет на выплаты за найденные уязвимости.

Обезопасить компанию от «плохих» хакеров

Вне зависимости от того, есть в компании программа bug bounty или нет, всегда есть риски, что человек найдет ошибку и воспользуется уязвимостью в плохих целях. В этой связи помимо внедрения и развития bug bounty программы стоит внедрять и другие процессы, которые смогут обезопасить бизнес. Необходимо повышать осведомленность сотрудников, вести непрерывный внутренний мониторинг уязвимостей и атак, проверять код, разбирать кейсы со взломами и утечкой данных других компаний.

Bug bounty программа Mail.ru Group

Программу bug bounty можно развернуть на специализированной платформе или создать под нее свою. Мы у себя сделали выбор в пользу первого – этот вариант более удобен с точки зрения выплат и наличия базы исследователей, собранных в одном месте.

Наша bug bounty программа, которой в апреле исполнится пять лет, функционирует на платформе HackerOne. Там исследователи сразу могут видеть размер вознаграждения за ту или иную найденную уязвимость: чем выше угроза, которую она несет, тем больше денег мы за нее заплатим.

В общем виде процесс состоит из следующих этапов:

  • Исследователь создает тикет с подробным описанием найденной уязвимости.
  • Мы анализируем уязвимость.
  • Если наличие уязвимости подтверждается, мы формулируем задачу по ее устранению для разработчиков.
  • Устраняем уязвимость и сообщаем об этом исследователю.

Команда специалистов по информационной безопасности Mail.ru Group собирается каждую среду для обсуждения всех найденных за прошедшую неделю уязвимостей, и исследователи получают свои деньги вне зависимости от того, устранен к этому времени баг или нет.

В современных реалиях, когда угрозы с каждым днем становятся сложнее, а злоумышленники используют все более нетривиальные методы, bug bounty программа становится необходимым инструментом обеспечения безопасности. По факту мы сотрудничаем с хакерами со всего мира, которые помогают нам в поиске уязвимостей. И получают за это и признание, и деньги – причем в достаточно короткие сроки: если хакер заметил уязвимость, то в среднем уже через пять дней ему выплачивают вознаграждение.

Карим Валиев
Руководитель подразделения информационной безопасности Mail.ru Group

Цена вопроса

В нашей программе поиска уязвимостей участвует более 700 хакеров. Самое крупное вознаграждение, которое мы выплатили четыре раза за время существования программы, составило 5000 долларов, а потенциально может достигать 15 000 долларов.

Всего за почти пять лет работы bug bounty программы для Mail.ru и ICQ мы выплатили исследователям 307 469 долларов за 857 найденных уязвимостей. А топ-3 исследователей за это время получили по 10 000 – 20 000 долларов каждый.

Шанс на миллион

Недавно мы анонсировали запуск нового браузера Atom. Основной упор в нём сделан на безопасность и приватность пользователей. Безопасному браузеру положено быть безупречным с точки зрения отсутствия в нём критических уязвимостей, поэтому мы запустили публичную программу bug bounty нашего браузера.

В поиске потенциальных уязвимостей может принять участие любой пользователь сети. По правилам конкурса, исследователь, которому удастся найти уязвимость RCE (возможность выполнения произвольного кода в браузере при заходе на вредоносный сайт) получит суперприз в 1 миллион рублей. Если таких исследователей будет несколько, то суперприз будет разделен между ними.

{ "author_name": "Mail.Ru Group", "author_type": "editor", "tags": [], "comments": 1, "likes": 14, "favorites": 0, "is_advertisement": false, "subsite_label": "mailrugroup", "id": 60395, "is_wide": false, "is_ugc": false, "date": "Wed, 06 Mar 2019 13:04:26 +0300" }
{ "id": 60395, "author_id": 198687, "diff_limit": 1000, "urls": {"diff":"\/comments\/60395\/get","add":"\/comments\/60395\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/60395"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 198687 }

1 комментарий 1 комм.

Популярные

По порядку

Комментарий удален

Комментарий удален

Комментарий удален

1

Bug Bounty в Mail.ru Group: райское наслаждение

На странице «Багоси», открытой версии сообщества тестировщиков «Багосы», появилось объяснение рассылки. Авторы сообщили, что использовали старую уязвимость, за нахождение которой «ВКонтакте» не выплатила награду.

Ответить
0
{ "page_type": "article" }

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "bscsh", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223676-0", "render_to": "inpage_VI-223676-0-1104503429", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=bugf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudx", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byzqf", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvc" } } }, { "id": 19, "label": "Тизер на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "p1": "cbltd", "p2": "gazs" } } } ]
Хакеры смогли обойти двухфакторную
авторизацию с помощью уговоров
Подписаться на push-уведомления
{ "page_type": "default" }