Bug Bounty в Mail.ru Group: райское наслаждение, выраженное в реальных деньгах

В этом году первой программе поиска уязвимостей в Mail.ru Group исполняется 5 лет, за время ее существования было выплачено свыше 300 тысяч долларов.

Позже мы запустили программы поиска уязвимостей для ВКонтакте, Одноклассников и ICQ – суммарный размер выплат по всем достигает 700 тысяч долларов. Сегодня наличие такой программы является своего рода стандартом для многих крупных технологических компаний. Зачем же бизнесу «выносить сор из избы», а баг-хантерам – работать «в белую»?

Черно-белое кино

Довольно часто в СМИ мелькают заметки о том, что хакеры в очередной раз что-то взломали, и в сеть «утекли» откровенные фото знаменитостей. Надо сказать, что взломщики становятся все более продвинутыми, что обязывает бизнес постоянно быть начеку и повышать уровень информационной безопасности своих продуктов.

Bug bounty – то есть поиск ошибок силами сторонних консультантов – необходимая часть процесса обеспечения безопасности. Программа как раз призвана привлечь для этого так называемых «белых хакеров». Это движение становится все более популярным, и сегодня люди даже специально учатся, чтобы стать «белыми хакерами». Подобная образовательная программа есть, например, у GeekBrains.

Первая программа bug bounty была запущена в далеком 1995 году компанией Netscape. Так что движение «белых хакеров» скоро отметит свое 25-летие. Сегодня же деньги за найденные уязвимости выплачивают практически все крупные игроки IT-рынка: Google, Intel, Tesla, Uber и многие другие. Apple, правда, идет по своему пути: компания пригласила к сотрудничеству нескольких исследователей и предложила им довольно ограниченный круг задач. Так что, найдя уязвимость, не стоит рассчитывать на материальное вознаграждение – вас только занесут в «зал славы», что безусловно, приятно, но «спасибо», как известно, в карман не положишь.

Однако денежное вознаграждение – не единственная мотивация охотников за багами. В процессе поиска уязвимостей они также совершенствуют свои навыки, формируют портфолио и зарабатывают себе имя в IT-сообществе.

Bug bounty для компаний

Пул задач, которые посредством bug bounty программ решает бизнес, еще более широк. Как ни удивительно, программа bug bounty – это не только про безопасность (хотя про нее в первую очередь). Среди других ее функций:

• снижение репутационных рисков;
• продвижение бренда в IT-сообществе;
• работа с коммьюнити;
• совершенствование навыков штатных специалистов по информационной безопасности, разработчиков.

Быть или не быть?

Как видите, bug bounty программа способна дать бизнесу много преимуществ, которые не ограничиваются вопросами безопасности. Но к ее запуску нужно подходить со всей серьезностью, обеспечив должный уровень готовности технологических, человеческих и финансовых ресурсов.

Первое – у компании должны быть налажены процессы работы с уязвимостями или хотя бы должна быть возможность их запустить. Второе – к запуску bug bounty программы должны быть готовы сотрудники. Наконец, деньги. Компания должна выделить бюджет на выплаты за найденные уязвимости.

Обезопасить компанию от «плохих» хакеров

Вне зависимости от того, есть в компании программа bug bounty или нет, всегда есть риски, что человек найдет ошибку и воспользуется уязвимостью в плохих целях. В этой связи помимо внедрения и развития bug bounty программы стоит внедрять и другие процессы, которые смогут обезопасить бизнес. Необходимо повышать осведомленность сотрудников, вести непрерывный внутренний мониторинг уязвимостей и атак, проверять код, разбирать кейсы со взломами и утечкой данных других компаний.

Bug bounty программа Mail.ru Group

Программу bug bounty можно развернуть на специализированной платформе или создать под нее свою. Мы у себя сделали выбор в пользу первого – этот вариант более удобен с точки зрения выплат и наличия базы исследователей, собранных в одном месте.

Наша bug bounty программа, которой в апреле исполнится пять лет, функционирует на платформе HackerOne. Там исследователи сразу могут видеть размер вознаграждения за ту или иную найденную уязвимость: чем выше угроза, которую она несет, тем больше денег мы за нее заплатим.

В общем виде процесс состоит из следующих этапов:

• Исследователь создает тикет с подробным описанием найденной уязвимости.
• Мы анализируем уязвимость.
• Если наличие уязвимости подтверждается, мы формулируем задачу по ее устранению для разработчиков.
• Устраняем уязвимость и сообщаем об этом исследователю.

Команда специалистов по информационной безопасности Mail.ru Group собирается каждую среду для обсуждения всех найденных за прошедшую неделю уязвимостей, и исследователи получают свои деньги вне зависимости от того, устранен к этому времени баг или нет.

Цена вопроса

В нашей программе поиска уязвимостей участвует более 700 хакеров. Самое крупное вознаграждение, которое мы выплатили четыре раза за время существования программы, составило 5000 долларов, а потенциально может достигать 15 000 долларов.

Всего за почти пять лет работы bug bounty программы для Mail.ru и ICQ мы выплатили исследователям 307 469 долларов за 857 найденных уязвимостей. А топ-3 исследователей за это время получили по 10 000 – 20 000 долларов каждый.

Шанс на миллион

Недавно мы анонсировали запуск нового браузера Atom. Основной упор в нём сделан на безопасность и приватность пользователей. Безопасному браузеру положено быть безупречным с точки зрения отсутствия в нём критических уязвимостей, поэтому мы запустили публичную программу bug bounty нашего браузера.

В поиске потенциальных уязвимостей может принять участие любой пользователь сети. По правилам конкурса, исследователь, которому удастся найти уязвимость RCE (возможность выполнения произвольного кода в браузере при заходе на вредоносный сайт) получит суперприз в 1 миллион рублей. Если таких исследователей будет несколько, то суперприз будет разделен между ними.