2022/03/18 17:26:43

HackerOne

HackerOne — популярная среди экспертов по компьютерной безопасности со всего мира платформа, благодаря которой специалисты и хакеры могут сообщить компаниям о найденных уязвимостях и получить за это вознаграждение. В программе также участвуют Adobe, Twitter, Uber, Snap Inc. (Snapchat), Pornhub, Dropbox, ВКонтакте и другие ИТ-компании.

История

2022: Отключение пользователей из России и Белоруссии

17 марта 2022 года стало известно о том, что международная платформа по поиску уязвимостей HackerOne не выплатила белорусскому хакеру $25 тыс. Эту сумму он должен был получить за найденную уязвимость по программе Bug Bounty. Политика компании HackerOne объясняется тем, что хакер находится в зоне санкций. Об этом пишет «Коммерсант» со ссылкой на аккаунт хакера в Twitter.

Как сообщалось, по программе Bug Bounty («охота за багами») компании выплачивают вознаграждение хакерам за найденные уязвимости в их информационных системах, сервисах или приложениях.

Хакеры из зон санкций не могут участвовать в финансовых трансакциях, поэтому вознаграждения за найденные ими уязвимости будут перенаправлены ЮНИСЕФ (Детский фонд ООН).

написал у себя в Twitter Мартен Микос (Marten Mickos), гендиректор HackerOne

Позже Микос уточнил, что компания пересылает вознаграждения хакеров в фонд только после их согласия. Но HackerOne удерживает оплату хакерам из стран, подпадающих под санкции (Россия, Белоруссия и т. д.).

На март 2022 года всех русских и белорусских хакеров удалили из HackerOne, подтвердил независимый эксперт по информационной безопасности Денис Батранков.

По программе Bug Bounty в России работают «Яндекс», Ozon, VK, банк «Тинькофф» и пр. Большинство из них предлагали выплаты именно через HackerOne. Исследователи могут продолжить использовать эту платформу, зарегистрировав аккаунт на лицо, не связанное с Россией или Белоруссией, допускает ведущий инженер CorpSoft24 Михаил Сергеев. По его мнению, конкурентов у HackerOne в России нет.

Делать упор на разработку сервиса именно для России — плохой вариант. На март 2022 года у нас мало компаний, которые выделяют деньги на такие услуги, аналог должен быть интернациональным.

подчеркивает Михаил Сергеев

У «Яндекса» были отдельные проекты на HackerOne, но компания полностью перешла на собственный сервис «Охота за ошибками», рассказал «Коммерсанту» источник, знакомый с ситуацией. В VK также ищут решения и платформы для продолжения программы Bug Bounty.

В «Тинькофф» рассказали, что у банка после приостановки деятельности HackerOne нет технической возможности продолжать программу Bug Bounty на этой платформе. По его словам, российские компании рассматривают отечественный аналог HackerOne от «Ростелекома».

Создание российской платформы для выявления уязвимостей в государственных информационных системах обсуждают в Минцифры, рассказали в министерстве. В Positive Technologies и «Ростелекоме» отказались от комментариев. Подобную платформу хотела запустить в мае 2022 г. российская ИБ-компания Positive Technologies.

Сложности с выплатой вознаграждения по Bug Bounty наносят ущерб не только исследователям, но и компаниям и их клиентам — снижается уровень защиты пользователей во всем мире, говорит главный технологический эксперт «Лаборатории Касперского» Александр Гостев.

Поиск уязвимостей должен вестись непрерывно, только так можно снизить потенциальные риски кибербезопасности.

считает Александр Гостев

Заработок теряют и российские «белые» хакеры. У крупных российских компаний встречаются вознаграждения более $10 тыс. за найденные критические уязвимости, подчеркнул руководитель блока анализа защищенности Infosecurity a Softline Company Андрей Найденов. Он также отметил, что в небольших компаниях и вознаграждения небольшие, а в каких-то они отсутствуют вовсе^[1].

2020: Этичные хакеры взломали Пентагон 12,5 тыс. раз

Платформа HackerOne опубликовала результаты работы так называемых этичных хакеров, которые за вознаграждения находят уязвимости в ИТ-системах компаний и госорганов. В 2020 году в рамках таких кампаний Пентагон взломали около 12,5 тыс. раз, что стало самым высоким показателем среди участников HackerOne.

Второе место по количеству уязвимостей занял производитель цифрового контента Verizon Media, в системах которого нашли порядка 6,7 тыс. недостатков. Около 4 тыс. недочетов нашли в продуктах и системах Mail.Ru Group. Причем эти две компании запустили свои программы по поиску уязвимостей на 2,5 года раньше, чем Министерство обороны США.

Этичные хакеры взломали Пентагон 12,5 тыс. раз

В отличие от негосударственных компаний Минобороны США не платит за найденные уязвимости, а начисляет баллы, которые в сумме позволяют баг-хантерам принять участие в аналогичных закрытых программах и получить щедрое вознаграждение. Для сравнения: Verizon Media за обнаружение одной ошибки платит в среднем $400–500.

Заработать на HackerOne самую крупную сумму в истории платформы удалось эксперту в сфере информационной безопасности из Румынии – по итогам 2020 года размер полученного им вознаграждения за поиск уязвимостей достиг $2 млн.

Лидером по заработкам на платформе HackerOne, специализирующейся на тестировании безопасности компьютерных систем стал ИБ-специалист Космин Иордаке (Cosmin Iordache), работающий под ником inhibitor181. Об этом сообщество сообщило на своем Twitter-аккаунте.

К концу декабря 2020 года подключенным к платформе HackerOne хакерам в 170 странах выплачено в общей сложности $82 млн. Сервисом пользуются более 6 млн багхантеров, что почти вдвое больше, чем к концу 2019 года. Они ищут уязвимости по заказам 1700 госучреждений и коммерческих предприятий.^[2]^[3]

2019: Первый в мире багхантер-миллионер

В начале марта 2019 года компания HackerOne, развивающая платформу для поиска уязвимостей за деньги, представила Сантьяго Лопеса (Santiago Lopez), 19-летнего хакера-самоучку из Аргентины, который стал первым в мире багхантером-миллионером. Подробнее здесь.