VK заплатила багхантерам 37 миллионов за год

Сейчас в России активно развивается рынок Bug Bounty – все больше коммерческих компаний и государственных организаций приглашают «белых» хакеров на охоту за уязвимостями в своих системах. Место ушедшего в 2022 году HackerOne заняли сразу три локальных платформы (Standоff 365, BI.Zone и Bugbounty.ru), предложив достойную альтернативу местному бизнесу и независимым исследователям.

Немного истории

В настоящий момент направление Bug Bounty стало важным элементом ИБ-стратегии для крупных бизнесов и правительственных организаций практически по всему миру. Хотя идея о том, чтобы платить вознаграждение любому, кто найдет уязвимость в защите компании и сообщит о ней, не сразу завоевала свою популярность.

Считается, что первую программу Bug Bounty для операционной системы Versatile Real-Time Executive запустили Hunter&Ready в 1981 году. Тогда призом за ошибку был новенький Volkswagen Beetle, также известный, как Bug. Но широкой известности эта инициатива не получила. В 1995 году компания Netscape стартовала с первой в мире открытой программой по поиску уязвимостей в обмен на денежные вознаграждения для тестирования своего продукта Navigator 2.0 Beta. Хотя решение Netscape было впечатляющим, оно не прижилось среди других поставщиков ПО. Попытки IDefense в 2002 году развить багхантинг также не увенчались особым успехом, пока в 2004 году фонд Mozilla не запустил свою программу вознаграждений за обнаружение критических уязвимостей в Firefox. Предпринятый шаг от крупного игрока ИТ-рынка поменял представление многих компаний о том, что к своим информационным системам можно привлекать сторонних исследователей и платить им за это. Еще в начале 2000-ых любые хакеры воспринимались с подозрением, и на развитие отношений между бизнесом и независимыми экспертами по безопасности потребовались годы.

В истории мирового багхантинга революционными стали 2010-2012 годы, когда Google и Facebook запустили свои программы вознаграждения за обнаружение ошибок в веб-приложениях, а Mozilla решила расширить скоуп. В 2012 году была основана самая известная международная площадка HackerOne, где заказчики со всего мира могли разместить для независимых специалистов по информационной безопасности свои программы по поиску багов.

А что было в России?

Первопроходцами в направлении Bug Bounty на российском рынке стали самые крупные интернет-компании – VK и Яндекс. Вслед за мировыми гигантами они начала платить внешним исследователям за найденные уязвимости, начиная с 2012-2013 годов.

В VK впервые программа Bug Bounty возникла для крупнейшего в России почтового сервиса Mail.ru, но за прошедшие годы она значительно расширилась до всей инфраструктуры холдинга. Сейчас это уже система с большим количеством различных программ, которые классифицированы и разделены по скоупам – продуктам или командам. С момента запуска VK Bug Bounty в 2013 году компания получила более 15 тыс. отчётов и выплатила более 185 млн рублей.

2022 год: развитие собственного движения

После отключения России от HackerOne компании, ранее использовавшие этот ресурс для размещения своих программ, начали искать альтернативы на локальном рынке. Помимо уже существующей Bugbounty.ru, весной 2022-го Positive Technologies запустили свою платформу The Standoff 365 Bug Bounty, а чуть позже BI.ZONE представил и свою площадку.

VK одними из первых присоединились ко всем доступным на российском рынке площадкам Bug Bounty, предложив для исследования местному сообществу хакеров огромное количество продуктов своей экосистемы. Сейчас на платформе Standoff 365 Bug Bounty размещено 34 программы от VK, cамые знаковые – это Почта, Облако и Календарь Mail.ru, социальные сети ВКонтакте и Одноклассники.

Если смотреть на промежуточные итоги, то за год на платформе Standoff 365 программы VK получили около 2 000 отчётов от 383 исследователей. Команда взяла в работу ошибки из 850 отчётов, а вознаграждение заплатили за 650 отчётов — это примерно 30% от общего числа.

Одни из главных драйверов – это продукты Mail.ru. Более 100 отчётов об уязвимостях, которые «белые» хакеры нашли на сайтах сервиса и в мобильных приложениях, из них 27 приняли на исправление. С лета 2022 года команда Mail.ru выплатила исследователям 3 213 000 руб., самая дорогая уязвимость обошлась в 1 200 000 руб. Самыми популярными найденными уязвимостями стали – XSS, IDOR, ошибки бизнес-логики. Около 70% ошибок обнаружили в клиентской части сервисов, и 30% — в серверной.

Следом идут показатели от двух главных российских соцсетей – ВКонтакте и Одноклассники. Здесь максимальные выплаты распределяются таким образом: ВКонтакте — 3 600 000 руб., в Одноклассниках — 1 200 000 руб. за нахождение удалённого исполнение кода (RCE) на стороне сервера. За 2022 год ВКонтакте суммарно выплатил исследователям 15 млн руб., оплатив 171 отчет из 318. В команде Одноклассников оплачены были 58 отчетов из 100 присланных. Суммарно было выплачено порядка 1,8 млн. рублей. Чаще всего исследователи сообщали о наличии XSS в web-приложении, а также о необходимости применения лучших практик в области безопасности и ошибках бизнес-логики.

За год присутствия VK только на российских платформах компания заплатила багхантерам более 37 млн руб., и готова и дальше развивать свои программы, мотивируя все больше независимых исследователей принимать участие в поиске багов в своих продуктах. Ведь безопасность миллионов пользователей – это не то, на чем можно экономить.