«ВКонтакте» будет платить за найденные на сайте и в приложениях уязвимости Статьи редакции

«ВКонтакте» запустила программу вознаграждений за найденные на сайте соцсети и в её официальных приложениях для iOS, Android и Windows Phone уязвимости. Об этом сообщил операционный директор соцсети Андрей Рогозов.

Для приема информации об уязвимостях компания использует платформу HackerOne. По словам Рогозова, благодаря ей «весь процесс от нахождения уязвимости до её устранения и выплаты вознаграждения становится максимально быстрым и простым».

Ранее компания получала информацию о проблемах через встроенный сервис поддержки, пояснил ЦП представитель соцсети Георгий Лобушкин. Через HackerOne «удобно взаимодействовать, быстро переводя вознаграждения за найденные ошибки», отметил он.

Программа ограничена поиском технических уязвимостей в сервисах «ВКонтакте» и ее официальных мобильных приложениях. Минимальная награда — $100, потолок выплаты, по словам Лобушкина, не ограничен и зависит от важности уязвимости.

Согласно условиям программы, «ВКонтакте» не будет выплачивать награду за отсутствие защиты отдельных элементов без описания конкретных примеров негативных последствий. Также не учитывается «получение физического доступа к серверам/инфраструктуре, а также угрозы/причинение вреда сотрудникам компании».

Компания будет выплачивать награду только первому исследователю, который прислал сообщение о проблеме. Описание потенциального использования бага увеличит вероятность получения вознаграждения. В компании отмечают, что если уязвимость была использована против пользователей, то награда выплачиваться не будет.

В 2013 году хакеры Артем Дизычев и Олег Варнов нашли во «ВКонтакте» XSS-уязвимость, которая позволяла совершать действия от лица другого пользователя. В качестве благодарности за обнаруженную проблему они получили $5 тысяч в виде голосов — внутренней валюты соцсети.

В мае 2015 года казанский программист Камиль Хисматуллин обнаружил возможность получить прямую ссылку на любую фотографию в соцсети, в том числе скрытые и из личных сообщений. В качестве награды он получил 10 тысяч голосов (70 тысяч рублей).

Помимо «ВКонтакте», платформой HackerOne для приема уязвимостей пользуются Mail.Ru Group, Adobe, Slack, Twitter, Dropbox и другие компании. Согласно официальным данным, за все время существования площадки, компании-участницы выплатили около $3 млн 1432 хакерам.

0
29 комментариев
Написать комментарий...
Sergey Burmistrov
получили $5 тысяч в виде голосов

вот это подъебали

Ответить
Развернуть ветку
Elkhan

Лайками ахаха

Ответить
Развернуть ветку
Роман Косов
Коммент пиши - статью читай потом.

Голоса можно вывести через платежную систему.

Ответить
Развернуть ветку
Денис Кудрявцев

вывод голосов -50% от стоимости.

Ответить
Развернуть ветку
иван

это если повезет

Ответить
Развернуть ветку
Sergey Burmistrov

Где в статье написано, что голоса можно вывести?

Ответить
Развернуть ветку
Chubaka Odnako

По ссылкам в статье

Ответить
Развернуть ветку
Fuad Azakov

Опять голосами платить будут?

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Георгий Лобушкин

Нет. На HackerOne для выплат есть как раз своя система — это одна из причин, почему мы решили выступить именно там.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Роман Гончаров
Не принимаем в качестве уязвимостей:
Социальная инженерия

На самом деле зря.

http://vk.com/settings?m=3#password=1gA2s4CCD6ve1

Ответить
Развернуть ветку
иван

да

Ответить
Развернуть ветку
Николай Сафронов

И как ты собрался использовать фишку vk.com/settings?m=3#password=1gA2s4CCD6ve1 для взлома акков? %)

Ответить
Развернуть ветку
Никита Андреев

Как удобно - ребятам за прошлые баги никто платить не будет, которые буквально вчера нашли. А вот за сегодняшние уже будут.

Ответить
Развернуть ветку
Sergey Burmistrov

т.е. лучше было вообще никому никогда не платить?

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Chubaka Odnako

Что за бред, вы читали хоть статью?

Ответить
Развернуть ветку
Mikhail Khorpyakov
Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
иван

Да у них что не баг то фича, даже если эксплуатируя ее можно нехило обворовывать вк на баблишко, так что берд вот это все

Ответить
Развернуть ветку
иван

и совсем непонятно как вывести деньги из hackerone

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
иван

да и где гарантия, что если я солью уязвимости они не скажут что это уже сливали

Ответить
Развернуть ветку
иван

Мы крайне негативно относимся к эксплуатации найденных уязвимостей против наших пользователей, что означает полный отказ в выплате награды за нее.
И как спрашивается, я проверю уязвимость

Ответить
Развернуть ветку
иван

и как быть с несправедливо оцененными уязвимостями?
Допустим сферический иван в вакууме знает уязвимость на ней можно спокойно заработать 3-4 тысячи вечнозеленых долларов в месяц а они ее в 100$ оценят, какой смысл сдавать эту дыру?

Ответить
Развернуть ветку
Gennady Mkhitaryanov

Это уже басня про птичку, которая замерзла и упала в коровье говно

Ответить
Развернуть ветку
иван

Ну я начал их тестировать, закинул им уязвимость которую на рынке уязвимостей оценивают в 4-6$

Ответить
Развернуть ветку
Алексей Потапчик

Как насчёт того, чтобы баги в api сперва пофиксить?)

Ответить
Развернуть ветку
Dave Anderson

Используй баги, рассказывай - получай выплаты

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Александр Панков

В стиле Дурова, надеюсь, платить будут биткоинами? :)

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Сергей Лазарев

Слил 4 бага. Посмотрим.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Egor Brusov

Да ну их нахер. Вконтакте сообщил херову тучу багов, всегда одно и то же:
1) В курсе уже, скоро исправим.
2) Передали программистам, исправим.
3) Это так и должно быть.
В итоге так нихуя не должно быть, а баги, которые обещали исправить так и висят.

Ответить
Развернуть ветку
иван

ну чето вк пока что не чешется закрывать и отвечать на сообщения, начинаю подумывать а не слить ли эту дыру нуждающимся

Ответить
Развернуть ветку
Читать все 29 комментариев
null