На поиске уязвимостей можно получить хороший доход. Фото Unsplash |
Практика привлечения «белых хакеров» к поиску уязвимостей в информационных системах за вознаграждение – багбаунти – в России расширяется, причем в таких программах все чаще участвует не только бизнес, но и государственные структуры. В РФ действуют несколько платформ, связывающих заказчиков и «охотников на уязвимости» – багхантеров. На этих площадках компании могут запустить программу багбаунти, а исследователи – тестировать защищенность ресурсов, получая за это выплаты.
Так, на площадке BI.ZONE Bug Bounty общая сумма выплат независимым исследователям за два года существования платформы составила более 60 млн руб., из которых 45 млн – только за последний год. Рынок растет быстрыми темпами, и за последнее время на площадке более чем в три раза увеличилось количество компаний из финансовой отрасли, в шесть раз выросло число программ от госсектора, все больше представлены компании из ретейла и IT-сектора, онлайн-сервисы.
«Мы обновили платформу и ее дизайн, сделали ее более удобной и современной. Одна из наших задач – сделать BI.ZONE Bug Bounty не только выгодной для багхантеров и компаний, но также комфортной в использовании, – отметил руководитель продукта BI.ZONE Bug Bounty Андрей Левкин на недавно прошедшей международной конференции по кибербезопасности OFFZONE 2024. – Мы хотим показать, что можно заниматься багхантингом полный рабочий день и получать хороший доход».
Сбер тоже решил провести тестирование защищенности своих сервисов силами багхантеров на платформе BI.ZONE Bug Bounty. Сервисами Сбера в России пользуются более 100 млн человек, ежемесячная аудитория только СберБанк Онлайн составляет свыше 82 млн. Банк запустил три публичные (то есть доступные для всех независимых исследователей на платформе) программы багбаунти. Исследователям необходимо проверить сайт Сбера, веб-версию и мобильное приложение СберИнвестиции, а также СберБанк Онлайн. В онлайн-банкинге эксперты могут искать уязвимости приложения в мобильных версиях для iOS и Android, мессенджере онлайн-банка и Сбер ID – сервисе для входа на сайты и приложения Сбера и партнеров.
Сбер интересуют уязвимости в платежных операциях, которые потенциально могут принести убытки как самому банку, так и его пользователям и партнерам, а также уязвимости, которые позволяют получить конфиденциальные пользовательские данные и системные разрешения, обойти механизмы аутентификации и авторизации, взломать систему обновления мобильных приложений и провести дальнейшую компрометацию конфиденциальной информации пользователей.
Кроме того, банк предлагает багхантерам найти возможности несанкционированного доступа и извлечения данных пользователей, нанесения ущерба критически важным функциям систем и сервисов, получения доступа к исходному программному коду, подделки и манипулирования платежными, торговыми и неторговыми поручениями, обхода экрана блокировки и другие уязвимости.
Исследователи, обнаружившие уязвимости в безопасности сервисов, смогут получить до 500 тыс. руб. – столько банк готов заплатить за найденную критическую уязвимость в СберБанк Онлайн и СберИнвестициях, а на сайте Сбера – до 200 тыс. руб. Для участия необходимо зарегистрироваться на платформе BI.ZONE Bug Bounty и следовать условиям программы.
«Мы постоянно совершенствуем наши сервисы, продукты и инфраструктуру, чтобы обеспечить кибербезопасность и сделать их еще удобнее для наших клиентов. Запуск публичной программы Сбера на платформе BI.ZONE Bug Bounty – это еще один важный шаг в достижении этой цели, – пояснил начальник Управления экспертизы кибербезопасности Сбербанка Сергей Крайнов. – Мы надеемся, что при поддержке сообщества этичных хакеров и компании BI.ZONE наш совместный проект станет одной из самых активных и конкурентоспособных программ багбаунти».
«Мы рады, что к нашей платформе присоединился один из ключевых игроков рынка финтеха. Совместная работа независимых исследователей на нашей платформе и специалистов Сбера позволит повысить устойчивость сервисов экосистемы к актуальным киберугрозам и обеспечит сохранность данных пользователей», – отметил Евгений Волошин, директор департамента анализа защищенности и противодействия мошенничеству BI.ZONE.