Соцсети Andrey Frolov
10 004

«ВКонтакте» будет платить за найденные на сайте и в приложениях уязвимости

«ВКонтакте» запустила программу вознаграждений за найденные на сайте соцсети и в её официальных приложениях для iOS, Android и Windows Phone уязвимости. Об этом сообщил операционный директор соцсети Андрей Рогозов.

Для приема информации об уязвимостях компания использует платформу HackerOne. По словам Рогозова, благодаря ей «весь процесс от нахождения уязвимости до её устранения и выплаты вознаграждения становится максимально быстрым и простым».

Ранее компания получала информацию о проблемах через встроенный сервис поддержки, пояснил ЦП представитель соцсети Георгий Лобушкин. Через HackerOne «удобно взаимодействовать, быстро переводя вознаграждения за найденные ошибки», отметил он.

Программа ограничена поиском технических уязвимостей в сервисах «ВКонтакте» и ее официальных мобильных приложениях. Минимальная награда — $100, потолок выплаты, по словам Лобушкина, не ограничен и зависит от важности уязвимости.

Согласно условиям программы, «ВКонтакте» не будет выплачивать награду за отсутствие защиты отдельных элементов без описания конкретных примеров негативных последствий. Также не учитывается «получение физического доступа к серверам/инфраструктуре, а также угрозы/причинение вреда сотрудникам компании».

Компания будет выплачивать награду только первому исследователю, который прислал сообщение о проблеме. Описание потенциального использования бага увеличит вероятность получения вознаграждения. В компании отмечают, что если уязвимость была использована против пользователей, то награда выплачиваться не будет.

В 2013 году хакеры Артем Дизычев и Олег Варнов нашли во «ВКонтакте» XSS-уязвимость, которая позволяла совершать действия от лица другого пользователя. В качестве благодарности за обнаруженную проблему они получили $5 тысяч в виде голосов — внутренней валюты соцсети.

В мае 2015 года казанский программист Камиль Хисматуллин обнаружил возможность получить прямую ссылку на любую фотографию в соцсети, в том числе скрытые и из личных сообщений. В качестве награды он получил 10 тысяч голосов (70 тысяч рублей).

Помимо «ВКонтакте», платформой HackerOne для приема уязвимостей пользуются Mail.Ru Group, Adobe, Slack, Twitter, Dropbox и другие компании. Согласно официальным данным, за все время существования площадки, компании-участницы выплатили около $3 млн 1432 хакерам.

#новость #ВКонтакте #уязвимость #hackerone #награда

{ "author_name": "Andrey Frolov", "author_type": "editor", "tags": ["\u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c","\u043d\u043e\u0432\u043e\u0441\u0442\u044c","\u043d\u043e\u0432\u043e\u0441\u0442\u0438","\u043d\u0430\u0433\u0440\u0430\u0434\u0430","\u0432\u043a\u043e\u043d\u0442\u0430\u043a\u0442\u0435","hackerone"], "comments": 29, "likes": 18, "favorites": 1, "is_advertisement": false, "subsite_label": "social", "id": 8438, "is_wide": true }
{ "id": 8438, "author_id": 14066, "diff_limit": 1000, "urls": {"diff":"\/comments\/8438\/get","add":"\/comments\/8438\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/8438"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 199129 }

29 комментариев 29 комм.

Популярные

По порядку

Написать комментарий...
8

получили $5 тысяч в виде голосов

вот это подъебали

Ответить
2

Лайками ахаха

Ответить
–2

Коммент пиши - статью читай потом.

Голоса можно вывести через платежную систему.

Ответить
2

вывод голосов -50% от стоимости.

Ответить
2

это если повезет

Ответить
–1

Где в статье написано, что голоса можно вывести?

Ответить
0

По ссылкам в статье

Ответить
5

Опять голосами платить будут?

Ответить

Комментарий удален

1

Нет. На HackerOne для выплат есть как раз своя система — это одна из причин, почему мы решили выступить именно там.

Ответить

Комментарий удален

3

Не принимаем в качестве уязвимостей:

Социальная инженерия

На самом деле зря.

http://vk.com/settings?m=3#password=1gA2s4CCD6ve1

Ответить
0

да

Ответить
0

И как ты собрался использовать фишку vk.com/settings?m=3#password=1gA2s4CCD6ve1 для взлома акков? %)

Ответить
2

Как удобно - ребятам за прошлые баги никто платить не будет, которые буквально вчера нашли. А вот за сегодняшние уже будут.

Ответить
2

т.е. лучше было вообще никому никогда не платить?

Ответить

Комментарий удален

0

Что за бред, вы читали хоть статью?

Ответить

Комментарий удален

0

Да у них что не баг то фича, даже если эксплуатируя ее можно нехило обворовывать вк на баблишко, так что берд вот это все

Ответить
0

и совсем непонятно как вывести деньги из hackerone

Ответить

Комментарий удален

0

да и где гарантия, что если я солью уязвимости они не скажут что это уже сливали

Ответить
1

Мы крайне негативно относимся к эксплуатации найденных уязвимостей против наших пользователей, что означает полный отказ в выплате награды за нее.
И как спрашивается, я проверю уязвимость

Ответить
1

и как быть с несправедливо оцененными уязвимостями?
Допустим сферический иван в вакууме знает уязвимость на ней можно спокойно заработать 3-4 тысячи вечнозеленых долларов в месяц а они ее в 100$ оценят, какой смысл сдавать эту дыру?

Ответить
0

Это уже басня про птичку, которая замерзла и упала в коровье говно

Ответить
1

Ну я начал их тестировать, закинул им уязвимость которую на рынке уязвимостей оценивают в 4-6$

Ответить
1

Как насчёт того, чтобы баги в api сперва пофиксить?)

Ответить
0

Используй баги, рассказывай - получай выплаты

Ответить

Комментарий удален

–3

В стиле Дурова, надеюсь, платить будут биткоинами? :)

Ответить

Комментарий удален

0

Слил 4 бага. Посмотрим.

Ответить

Комментарий удален

Комментарий удален

Комментарий удален

0

Да ну их нахер. Вконтакте сообщил херову тучу багов, всегда одно и то же:
1) В курсе уже, скоро исправим.
2) Передали программистам, исправим.
3) Это так и должно быть.
В итоге так нихуя не должно быть, а баги, которые обещали исправить так и висят.

Ответить
0

ну чето вк пока что не чешется закрывать и отвечать на сообщения, начинаю подумывать а не слить ли эту дыру нуждающимся

Ответить
0

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "bscsh", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223676-0", "render_to": "inpage_VI-223676-0-1104503429", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=bugf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudx", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byzqf", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvc" } } }, { "id": 19, "label": "Тизер на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "p1": "cbltd", "p2": "gazs" } } } ]
Команда калифорнийского проекта
оказалась нейронной сетью
Подписаться на push-уведомления