Телеком-оператор «Киевстар» объявил о старте программы Bug Bounty. В ее рамках любой желающий, зарегистрировавшись на платформе Bugcrowd с 13 по 27 марта, сможет сообщить о найденной им уязвимости в ресурсах компании и получить за это вознаграждение. Подать заявку на участие в программе можно здесь.
Автор:
Дмитрий Демченко

Материал подготовлен при поддержке «Киевстар»
Что это значит?

Этот материал подготовлен журналистами AIN.UA по редакционным стандартам и опубликован при поддержке рекламодателя
В «Киевстаре» отметили, что приняли решение запустить программу после того, как нашли уязвимость во время бета-тестирования обновленной системы «Мой Киевстар».

«Разработчики устранили проблему и, проведя дополнительное тестирование в рамках бета-версии, запустили обновленный сервис "Мой Киевстар" безопасным для всех его пользователей. Этот случай и стремление укрепить кибербезопасность подтолкнули "Киевстар" к идее привлекать независимых экспертов по выявлению уязвимостей в digital-ресурсах компании», — обращают внимание в компании.

«Киевстар» проводил программу Bug Bounty в закрытом режиме с ноября 2017 года. На протяжении первых 3 месяцев digital-сервисы оператора проверяли кибер-специалисты, рекомендованные платформой Bugcrowd. За это время специалисты выявили более 20 уязвимостей, которые были оперативно устранены «Киевстаром».

Сейчас же участие в программе могут принять все желающие. В компании предлагают найти уязвимости в системе самообслуживания «Мой Киевстар», на официальном сайте, на сайте интернет-магазина и других онлайн-ресурсах, предложенных к тестированию.
Вознаграждение за одну найденную уязвимость достигает $3000.
Среди приглашенных участников во время проведения закрытого режима программы – специалисты с высоким рейтингом на платформе Bugcrowd. Сервисы Киевстар проверяли исследователи из разных стран: Индия, Израиль, Нидерланды, Марокко, США, и несколько участников из Украины. Открывая программу для общего доступа, «Киевстар» возлагает особые надежды и ожидания на украинских кибер-экспертов: в компании отмечают, что за время закрытого тестирования успели убедиться в профессионализме украинских специалистов.
Напоминаем, ознакомиться с условиями участия в программе Bug Bounty «Киевстар», требованиями к участникам и подать заявку на участие в ней можно здесь.
Что такое Bug Bounty?
Bug Bounty — программы, в рамках которых программисты ищут уязвимости в веб-сервисах компаний и получают за это вознаграждения. Разработчиков, которые участвуют в подобных программах называют этичными или белыми хакерами, указывая на то, что они действительно взламывают сервисы, но делают это легально.

Первую программу Bug Bounty запустила компания Netscape в октябре 1995 года. Тогда компания предложила всем желающим найти уязвимости в бета-версии браузера Netscape Navigator 2.0. В компании объясняли этот шаг стремлением «провести открытый тест браузера». Программа продлилась несколько месяцев до релиза полноценной версии Navigator 2.0. Максимальный гонорар за найденную уязвимость тогда составил $1000.

Впрочем, такой эксперимент не снискал популярности. Следующей компанией, которая запустила подобную программу, стала Mozilla — случилось это только через девять лет, в 2004-ом. Тогда в компании предлагали хакерам найти уязвимости в браузере Firefox. За каждую найденную критическую уязвимость Mozilla платила $500.

С этого момента явление Bug Bounty стало активно набирать популярность. В последующие несколько лет появилось большое количество инициатив, посвященных поиску уязвимостей: запустился один из крупнейших на сегодня конкурс для белых хакеров Pwn2Own (в 2017 году его призовой фонд составил $1 млн), а программы Bug Bounty открыли крупнейшие технологические компании, включая Google и Facebook.
Как проходил Pwn2Own в 2017
Сейчас программы Bug Bounty есть у многих больших технологических компаний, включая те же Facebook, Google, а также Amazon, Uber, Microsoft и других. «Одно из самых ценных преимуществ программы — возможность находить проблемы еще до того, как они дадут о себе знать», — говорят в Facebook.

Мартен Микош, генеральный директор сервиса HackerOne, который объединяет «белых» хакеров и компании, выделяет несколько главных преимуществ таких программ. По его словам, в рамках Bug Bounty компания может покрывать все типы уязвимостей, быстро получать результаты и тратить на это меньше средств, чем на другие способы проверки ПО.
«Это неотъемлемая часть разработки программного обеспечения. Bug Bounty не только позволяет исправить баг, но и помогает предотвратить появление аналогичных уязвимостей в будущем», — считает Микош.
«В рамках Bug Bounty компания может покрывать все типы уязвимостей, быстро получать результаты и тратить на это меньше средств, чем на другие способы проверки ПО. Это неотъемлемая часть разработки программного обеспечения. Bug Bounty не только позволяет исправить баг, но и помогает предотвратить появление аналогичных уязвимостей в будущем»

Мартен Микош, гендиректор сервиса HackerOne
Одни из крупнейших Bug Bounty программ сейчас проводят Google и Facebook. Только за 2017 год Google выплатила хакерам около $2,9 млн, крупнейших гонорар составил более $110 000.
За все время проведения программы Google выплатила исследователям около $12 млн.
Показатели Facebook тоже впечатляют. За 2017 году компания наградила хакеров суммой в $880 000 со средним вознаграждением в $1900. За шесть лет проведения программы хакеры получили от Facebook $6,3 млн.

Bug Bounty программы используют не только корпорации, но и государственные учреждения. Одним из самых известных примеров можно считать конкурс по поиску уязвимостей в информационных системах Пентагона. В 2016 году Министерство обороны США предложила награды за найденные баги на сайтах и других онлайн-ресурсах штаб-квартиры.

В результате, участники нашли 138 уязвимостей за что суммарно получили от государства $150 000. В министерстве отметили, что на профессиональный аудит потратили бы около $1 000 000.

Сейчас популярностью также пользуются сервисы, которые соединяют «белых» хакеров и компании. Самыми популярными можно считать HackerOne и Bugcrowd, на котором свою программу запустил «Киевстар». HackerOne был основан в 2012 году. За шесть лет работы сервис привлек около 500 клиентов, среди которых Slack, General Motors, а суммарные выплаты хакерам составили более $7 млн. У Bugcrowd похожие показатели — более 600 организаций в клиентах и суммарный гонорар на $6 млн.

С ростом популярности программ Bug Bounty растет и заработок, который могут получать хакеры за свою работу. Хорошие исследователи зарабатывают не меньше, а то и больше, чем программисты и менеджеры крупных IT-компаний.
По словам Йоберта Обма, сооснователя HackerOne, доход хорошего исследователя уязвимостей может достигать $100 000, а то и $200 000 в год.
Сам Обма говорил, что за неполный год ему удалось заработать более $80 000. «Большинство "белых" хакеров — программисты, работающие на постоянной работе. Они занимаются этим для дополнительного дохода — и это очень неплохая прибавка к зарплате».
Подать заявку на участие в программе Bug Bounty
© 1999—2018 AIN.UA
[email protected]
Made on
Tilda