Размер оплаты начинается от 5000 рублей и может достигать 400 000 и более
Ранее международная платформа по поиску выплате награждений за найденные уязвимости HackerOne приостановила выплаты белым хакерам из из России и Белоруссии за обнаруженные ими уязвимости.
Баг баунти – это программа, по которой «этичные хакеры» получают от компаний вознаграждение за найденные в их IT-сетях, системах и приложениях уязвимости. Создаваемая платформа позволит экспертам по информационной безопасности легально получать вознаграждения за найденные уязвимости в продуктах участников программы баг баунти. Компания же, в свою очередь, при размещении на платформе, дает свое согласие на то, чтобы ее “ломали”. При этом может ограничивать хакеров в своих действиях, например, запрещать применять социальную инженерию, не атаковать других пользователей системы или приложения.
С 1 апреля 2022 года публичные программы bug bounty открывает платформа компании «Киберполигон», в мае появится платформа Positive Technologies, пишет «Коммерсантъ». Аналогичный проект анонсировал «Ростелеком», но статус проекта пока неизвестен.
В ноябре 2021 года Positive Technologies анонсировала онлайн-платформу The Standoff 365 для проведения онлайн киберучений. В декабре завершилось ее бета-тестирование. The Standoff 365 состоит из киберполигона, на котором воссозданы операционные и бизнес-процессы топливно-энергетического комплекса и платформы баг баунти, на которой хакеры, обнаружившие уязвимости смогут получать вознаграждения. А компании, которые будут участвовать в таких программах смогут привлекать внешнюю экспертизу, тем самым улучшать уровень своей информационной безопасности. MVP готовится к первому дню форума Positive Hack Days, то есть к 18 мая. Несмотря на сжатые сроки, мы получаем и учитываем идеи наших потенциальных клиентов, чей опыт будет полезен в наборе функционала. К примеру, именно так мы дорабатывали систему биллинга для понимания клиента того, как и на что расходуется его бюджет, возможность публично раскрывать отчеты хакеров для привлечения внимания к программе и платформе.
Размер оплаты за отдельную ошибку начинается от 5000 рублей и может достигать 400 000 и более. При этом, цена за реализацию недопустимых событий может быть в десятки раз больше.
«Киберполигон» рассчитывает, что на платформе появится 10-15 публичных программ bug bounty за один-два месяца и столько же частных. Количество «белых хакеров» на ней составит до 2,5 тысяч, планируют в компании. Максимальная сумма вознаграждения за критичную уязвимость в одной из программ, которые появятся на платформе в апреле, составляет 3 млн рублей.
Одно найти легче, чем другое. Спойлер: это не темная материя