Платформа для «белых хакеров» HackerOne отключила пользователей из России и Белоруссии
Международная платформа по поиску уязвимостей HackerOne прекратила выплаты пользователям из России и Белоруссии. Эта платформа выступает посредником между компаниями, которые хотят проверить безопасность своих IT-систем, и хакерами, получающими вознаграждение за поиск в них уязвимостей.
Платформа HackerOne не выплатила белорусскому хакеру $25 тыс. за найденную уязвимость по программе Bug Bounty, поскольку он «из зоны санкций».
Хакеры из зон санкций не могут участвовать в финансовых транзакциях, поэтому вознаграждения за найденные ими уязвимости будут перенаправлены ЮНИСЕФ (Детский фонд ООН).
Гендиректор HackerOne Мартен Микос
У крупных российских компаний встречаются вознаграждения более $10 тыс. за найденные критические уязвимости, тогда как в небольших они могут составлять менее $1 тыс. Сейчас всех русских и белорусских исследователей удалили из HackerOne и других платформ, что подтвердил независимый эксперт по информационной безопасности Денис Батранков.
В прошлом году стало известно о том, что «Ростелеком» планирует создать аналог HackerOne, который хотели запустить в 2022 году, однако официальных комментариев не было.
Bug Bounty
На сегодняшний день корпоративные ИТ-системы представляют собой комплексную структуру, которая не только помогает лучше осуществлять бизнес-процессы, но также становится рассадником для множества уязвимостей. Любое слабое место в ИТ-системах способно привести к крупным утечкам ценной информации или попросту стать причиной остановки работ. Подобные инциденты оборачиваются не только финансовым, но и репутационным ущербом для любой компании.
Поиск уязвимостей — колоссальная и кропотливая работа, и далеко не всегда даже у крупных организаций хватает внутренних кадров для ее реализации. В таких условиях приходится искать помощь извне. Для решения этой проблемы и существует концепция Bug Bounty.
Что такое Bug Bounty?
Bug Bounty — это программа, в ходе которой компания привлекает сторонних специалистов по информационной безопасности для тестирования своего программного обеспечения на уязвимости за вознаграждение.
При проведении Bug Bounty, поиск уязвимостей ведётся в продуктах или в инфраструктуре, выставленных заказчиком. Исследователь получает в свое распоряжение всеобъемлющий набор информации — описание политик, список правил, описание того, что можно и что нельзя делать с исследуемым объектом. Соглашаясь с этими правилами, можно в удобное время выполнить задание. Обнаружив баг, следует отослать отчёт на площадку. Заказчик оценивает уровень обнаруженной угрозы и выплачивает вознаграждение. Его получает только тот, кто первым сообщил об обнаруженной уязвимости.
Существует множество площадок для проведения Bug Bounty. Публичные — которые способны привлечь большое количество хакеров и обеспечить широкий охват поиска. Они помогают новичкам быстро вырасти профессионально, набрать необходимый опыт и получить крупное вознаграждение. Существуют также и приватные платформы, где специалистов отбирает сам вендор, который предоставляет им эксклюзивный доступ для оценки. В список избранных попадают высококвалифицированные, известные хакеры.
В этой статье мы рассмотрим какие площадки Bug Bounty существуют на сегодняшний день, их особенности и вознаграждения, которые они предлагают.
Одна из старейших и самых известных международных площадок, на которой представлены множество мировых компаний, а также проекты с открытым кодом. Основное направление — поиск уязвимостей в веб-приложениях, но есть также предложения о поиске уязвимостей в мобильных приложениях и нестандартные альтернативные варианты.
Платформа дает возможность просматривать публичные отчеты от других участников и набираться тем самым опыта, а также узнать размер выплат от каждой компании.
HackerOne также имеет множество приватных программ, к которым допускаются специалисты с высоким рейтингом.
В начале 2022 года многие иностранные платформы bug bounty, в том числе и HackerOne, отказались от сотрудничества с российскими и исключили из числа своих клиентов российские компании. Данные обстоятельства сподвигли искать замену зарубежным решениям, что привело к созданию множества интересных отечественных проектов.
Новая площадка от компании Positive Technology, вышла на рынок громко и с размахом из-за присоединения к программе Bug Bounty компании VK. VK — одна из первых компаний в России, которая начала платить внешним исследователям за найденные уязвимости. С 2013 года VK получила более 15 000 отчетов, что позволило ей усилить защиту пользовательских данных и исправить уязвимые места. Всего за время действия программы bug bounty компания выплатила более 185 млн рублей. В программу bug bounty VK входят более 40 проектов. В зависимости от уровня угрозы найденной уязвимости исследователи безопасности получают вознаграждения от 6 тыс. до 1,8 млн рублей.
The Standoff 365 Bug Bounty была представлена в мае 2022 года. Исследователи безопасности, работающие в рамках платформы, могут получать награду не только за обнаружение отдельных рисков, но и за демонстрацию их реализации.
На данный момент The Standoff 365 Bug Bounty обладает наибольшим количеством представленных программ на территории СНГ, и каждую неделю этот список пополняется. Правила и выплаты указаны в каждой программе, давайте рассмотрим на примере VK Pay.
VK Pay — платёжный сервис для шопинга покупателей и продавцов.
Область действия
Основные домены:
vkpay.com, api.money.mail.ru, cpg.money.mail.ru, dbo.money.mail.ru, merch- cpg.money.mail.ru, pw.money.mail.ru, sbp.money.mail.ru, sbp-agent.money.mail.ru, sbp- gost.money.mail.ru
Остальные домены:
.vkpay.io, *.vkpay.com, *.vkpay.app и *.money.mail.ru за исключением делегированных и размещенных на внешнем хостинге доменов и фирменных партнерских сервисов.
Правила вознаграждения:
Суммы вознаграждения указаны в описании только для справки. Применимость вознаграждения и его размер могут зависеть от серьезности проблемы, новизны, вероятности использования, окружения и/или других факторов. Решение о вознаграждении принимается командой безопасности VK для каждого сообщения индивидуально.
Размер вознаграждения:
| Уязвимости | Основные | Остальные |
| Remote Code Execution (RCE) | 1 800 000 ₽ | 180 000 ₽ |
| Инъекции (SQLi или альтернатива) | 1 200 000 ₽ | 120 000 ₽ |
| Доступ к локальным файлам и работа с ними (LFR, RFI, XXE) без ограничений типа jail/chroot/file type restrictions | 1 200 000 ₽ | 120 000 ₽ |
| RCE в Dev. инфраструктуре / изолированный или виртуализированный одноцелевой процесс (например преобразование изображений) | 600 000 ₽ | 30 000 ₽ |
| SSRF, не слепые (с возможностью читать текст ответа), кроме выделенных прокси | 600 000 ₽ | 30 000 ₽ |
| SSRF, слепые, кроме выделенных прокси | 90 000 ₽ | 15 000 ₽ |
| Уязвимость на стороне сервера с раскрытием информации (например утечки памяти / IDORs) критически важных или высоко конфиденциальных данных приложения (например, сессии, учетные записи, пароли, кредитные карты, сообщения электронной почты) | 900 000 ₽ | 60 000 ₽ |
| Уязвимость на стороне сервера с раскрытием информации (например, утечки памяти / IDORs) защищенных персональных данных или конфиденциальной информации клиента | 360 000 ₽ | 60 000 ₽ |
| Уязвимость на стороне сервера с раскрытием информации (например утечки памяти / IDORs) конфиденциальных данных приложения* или инфраструктуры / повышение привилегий роли в организации | 9 000 ₽ – 360 000 ₽ | 3 000 ₽ – 60 000 ₽ |
| Обход аутентификации администратор/поддержка | 300 000 ₽ | 15 000 ₽ |
| Слепая XSS в интерфейсе администратор/поддержки | 180 000 ₽ | 0 ₽ |
| Межсайтовый скриптинг (XSS) при чтении электронной почты через содержимое сообщения (кроме AMP) | 120 000 ₽ | 0 ₽ |
| Межсайтовый скриптинг (XSS)** | 60 000 ₽ | 0 ₽ |
| Подделка межсайтовых запросов (СSRF) | 9 000 – 60 000 ₽ | 0 ₽ |
Как мы видим, присутствуют очень больше выплаты за критичные уязвимости, но данная сумма также облагается подоходным налогом.
Отчеты в личном кабинете представлены в нескольких стадиях:
- На рассмотрении – список недавно найденных уязвимостей.
- Принятые – уязвимости, за которые назначены выплаты.
- Отклоненные – уязвимости-дубликаты или не соответствующие правилам программы
Выплаты же происходят регулярно, что не может не радовать охотников за уязвимостями.
Так же как и на платформе Standoff 365, на площадке присутствует статистика и рейтинг, что в дальнейшем возможно будет использоваться для закрытых программ.
Также одна из новых площадок, на которой представлены такие крупнейшие компании такие как «Тинькофф Банк» и СберМаркет.
В программе платформы присутствует благотворительная акция по поиску уязвимостей на сайте движение Бессметрный Полк — найденные уязвимости не будут оплачены, однако баунти хантер сделает этот мир немного безопаснее.
На площадке присутствует рейтинг хантеров, что позволяет выявить наиболее активных и лучших участников.
Также очень удобно выполнена форма сдачи уязвимостей, что позволяет бизнесу лучше понимать критичность найденных уязвимостей.
Интерфейс отличается своей простотой — выбираете пункты, описываете проблему, и можно сдавать.
Данная площадка была представлена на конференции OffZone 25 августа 2022 года. BI.ZONE позиционирует свою разработку как хаб между бизнесом и независимыми исследователями — багхантерами.
BI.ZONE Bug Bounty интересна тем, что здесь мы уже видим практику раскрытия найденных уязвимостей после их устранения или же активных хантеров.
Также есть список лучших исследователей.
Эта платформа относительна моложе остальных участников, из-за чего в данный момент тяжело оценить ее эффективность в полной степени.
ИТОГ
Bug Bounty — довольно новое для российской среды решение. Тем не менее ее пользу трудно отрицать, ведь подобные платформы уже из года в год помогают обеспечивать надежную информационную защиту крупнейших компании РФ. Долгое время проблема реализации Bug Bounty в России лежала в юридической плоскости, однако в 2022 году положение дел начало стремительно меняться.
Минцифры уже пообещало легитимизацию понятия «bug bounty» на законодательном уровне. Это позволит распространить подобные программы и возможности тестирования для государственных систем. Поэтому для Bug Bounty в России 2022 год становится только начальным этапом в процессе эффективного развития.
Сотрудник HackerOne воровал у сервиса отчеты об уязвимостях и продавал их запуганным клиентам
Сотрудник сервиса HackerOne наживался за счет разработчиков ПО и «белых» хакеров, тайно воруя отчеты об уязвимостях у настоящих специалистов по информационной безопасности – участников различных программ Bug Bounty. Злоумышленник не просто присваивал себе чужой интеллектуальный труд, но и прибегал к тактике запугивания клиентов HackerOne. Правда, продолжалось это все недолго – чуть меньше трех месяцев, теперь мошенник уволен и рискует попасть под уголовное преследование.
Ворованные баг-репорты на продажу
Штатный сотрудник платформы для «белых» хакеров HackerOne занимался присвоением отправленных пользователями отчетов об уязвимостях в ПО и в агрессивной манере небезуспешно продавал их затронутым клиентам.
Согласно информации, опубликованной на официальном сайте HackerOne, мошенник за время работы в компании по собственной инициативе связался как минимум с семью клиентами площадки и в ряде случаев сумел получить денежное вознаграждение.
Представители платформы не уточняют имя, пол, возраст, должность работника, уличенного в мошенничестве, а также сумму нечестно им нажитого. Известно, что тот был принят на работу в начале апреля 2022 г. и уволен в конце июня 2022 г. после того, как о его проделках стало известно руководству сервиса. Сервис рассмотрит целесообразность обращения в правоохранительные органы в связи со случившимся.
Сотрудник HackerOne крал баг-репорты для последующей продажи запуганным клиентам платформы
Сервис HackerOne выступает в роли посредника между добросовестными исследователями в области информационной безопасности, так называемыми «белыми» хакерами, и разработчиками программного обеспечения, заинтересованными в выявлении ошибок в их продуктах. Специалисты-взломщики находят уязвимости в информационных системах, сервисах и приложениях, после чего отправляют специальные отчеты посредством HackerOne их разработчикам и получают оплату за свой труд в рамках соответствующей программы Bug Bounty («охота за багами»).
Как вычислили мошенника
Из хронологии событий, воссозданной в ходе внутреннего расследования в HackerOne, следует, что выявить мошенника в рядах персонала удалось благодаря обращению в службу поддержки представителя одного из клиентов сервиса. Причем расследование заняло у специалистов около суток, после чего злоумышленник был заблокирован во внутренних системах HackerOne.
В июне 2022 г. HackerOne принял жалобу на человека, скрывающегося под псевдонимом rzlr, который вышел на связь с клиентом с использованием не относящихся к платформе средств коммуникации. Незнакомец попытался передать в обмен на денежную компенсацию информацию об уязвимости в продукте клиента. Последнего смутил тот факт, что на веб-сайте площадки уже присутствовал аналогичный баг-репорт, а также выбранная собеседником тактика запугивания – вероятно, тот угрожал опубликовать информацию об уязвимости в случае невыплаты ему денежного вознаграждения.
Как отмечает Bleeping Computer, ситуации, в которых несколько исследователей обнаруживают одну и ту же уязвимость, а затем рапортуют о ней, возникают достаточно часто. Однако в данном конкретном случае отчеты оказались слишком уж похожими друг на друга, что заставило специалистов HackerOne уделить ему особое внимание. Аналогичные жалобы начали поступать и от других клиентов.
Внутреннее расследование, проведенное сервисом, показало, что один из новых сотрудников имел несанкционированный доступ к баг-репортам, отправленным пользователями. Создав дополнительную учетную запись на платформе, мошенник с ее помощью рассылал клиентам копии отчетов, подготовленных реальными «белыми» хакерами, ради собственной выгоды.
Антон Созонтов – о том, как разрабатывать программы, которые попадут в «Величайшие хиты» программирования
цифровизация
Выявить вора среди множества сотрудников удалось благодаря анализу журналов, которые ведутся внутренним ПО HackerOne. Список подозреваемых сократился до одного единственного сотрудника сервиса – никто кроме него не обращался сразу ко всем баг-репортам, которые вызвали подозрение у клиентов площадки.
Подтвердить вину предполагаемого мошенника помог денежный след, который HackerOne удалось отследить в сотрудничестве с поставщиками платежных услуг. Все перечисленные злоумышленнику суммы вознаграждения были предназначены одному и тому же человеку.
Кроме того, в HackerOne смогли доказать наличие связи между аккаунтом мошенника на площадке и конкретным сотрудником – в этом помог анализ сетевого трафика.
HackerOne больше не для россиян
В середине марта 2022 г. HackerOne отказалась обслуживать и перестала выплачивать россиянам и белорусам вознаграждения за найденные уязвимости. В компании, владеющей площадкой, объяснили отказ от выплат невозможностью участия хакеров из России и Белоруссии в финансовых транзакциях из-за международных санкций.
В конце марта 2022 г. «Коммерсант» писал о том, что до конца весны 2022 г. в России появятся по меньшей мере два аналога HackerOne.
Hackerone что такое
https://ria.ru/20220317/hackerone-1778594925.html
СМИ: HackerOne отключила пользователей из России и Белоруссии
СМИ: HackerOne отключила пользователей из России и Белоруссии — РИА Новости, 17.03.2022
СМИ: HackerOne отключила пользователей из России и Белоруссии
Международная компания HackerOne, соединяющая бизнес и хакеров с целью проверки безопасности информационных систем по программе Bug Bounty, перестала платить. РИА Новости, 17.03.2022
2022-03-17T09:39
2022-03-17T09:39
2022-03-17T09:39
белоруссия
лаборатория касперского
/html/head/meta[@name=’og:title’]/@content
/html/head/meta[@name=’og:description’]/@content
МОСКВА, 17 мар — РИА Новости. Международная компания HackerOne, соединяющая бизнес и хакеров с целью проверки безопасности информационных систем по программе Bug Bounty, перестала платить партнёрам из России и Белоруссии, сообщает газета «Коммерсант».»Международная платформа HackerOne, выступающая посредником между компаниями, которые хотят проверить безопасность своих IT-систем, и хакерами, получающими вознаграждение за поиск в них уязвимостей (багов), остановила выплаты пользователям из России и Белоруссии», — сообщается в газете.HackerOne не выплатила белорусскому взломщику 25 тысяч долларов за найденную уязвимость в рамках программы Bug Bounty, уточняет «Коммерсант». Тот привёл цитату гендиректора HackerOne Мартена Микоса: «Хакеры из зон санкций не могут участвовать в финансовых трансакциях, поэтому вознаграждения за найденные ими уязвимости будут перенаправлены ЮНИСЕФ (Детский фонд ООН)». Позже Микос уточнил, что оплата хакерам из стран, подпадающих под санкции, к которым относятся Россия и Белоруссия, «удерживается».По словам эксперта — представителя банка «Тинькофф», опрошенного «Коммерсантом», российские компании рассматривают отечественный аналог платформы от «Ростелекома», но существуют препятствия в связи с привлечением на нее исследователей. «Яндекс» перенес проекты с HackerOne на собственный сервис «Охота за ошибками», говорит газете источник, знакомый с ситуацией. В VK тоже ищут новые решения и платформы для продолжения Bug Bounty.Сложности с выплатой вознаграждения по Bug Bounty, по мнению главного технологического эксперта «Лаборатории Касперского» Александра Гостева, наносят ущерб не только исследователям, но и компаниям и их клиентам, поскольку уровень защиты пользователей снижается во всем мире. «Поиск уязвимостей должен вестись непрерывно, только так можно снизить потенциальные риски кибербезопасности», — считает он.Ведущий инженер CorpSoft24 Михаил Сергеев допускает, что продолжить пользоваться HackerOne смогут исследователи, зарегистрировав аккаунт «на лицо, не связанное с РФ или Белоруссией». При этом альтернатив он не видит. «Делать упор на разработку сервиса именно для РФ — плохой вариант. У нас мало компаний, которые выделяют деньги на такие услуги, аналог должен быть интернациональным», — считает Сергеев.