Нет хакера в своем отечестве
Юлия Степанова о рисках в поиске уязвимостей
Нашел у компании ошибку в безопасности — возьми с полки пирожок. Так работает распространенная за рубежом программа Bug Bounty, в рамках которой «белые хакеры», которые находят уязвимости в информационных системах компаний, сервисах или приложениях, могут получить от этих компаний вознаграждение.
Следуя той же логике, пользователь портала Habr, который 13 января сообщил ОАО РЖД об уязвимости в системе видеонаблюдения, тоже должен был быть вознагражден. Но вместо этого монополия намекнула, что его действия подпадают под уголовную ответственность за неправомерный доступ к критически важной для государства инфраструктуре.
И это уже не первый случай, когда найденная из благих намерений уязвимость может осложнить жизнь исследователю. Например, еще в 2017 году другой пользователь Habr нашел уязвимость в системе «Тройка» московского общественного транспорта. Проблема была устранена, но самого пользователя заблокировали на Habr, а его пост удалили по решению суда.
Другой случай произошел в 2018 году, когда в сеть попали персональные данные абонентов провайдера «Акадо», а обнаруживший их «белый хакер» в переписке с начальником службы информационной безопасности компании долго уговаривал последнего «устранить такую страшную дыру».
Под раздачу попадали и пишущие об уязвимостях журналисты. Так, в 2019 году эксперты по безопасности DeviceLock, обнаружив в открытом доступе базу с данными покупателей магазинов Sony Centre и сети спортивной одежды Street Beat, сообщили об этом в управляющую сетями компанию Inventive Retail Group (IRG) и “Ъ”. На запрос в IRG об уязвимости журналисту “Ъ” тогда сообщили, что подали на «белых хакеров» заявление в правоохранительные органы, а журналист может «пойти свидетелем».
Участвовать в действующей по другой идеологии программе Bug Bounty в России пока готовы немногие компании — об этом заявляли, например, «Азбука вкуса», «Яндекс», «Лаборатория Касперского», Ozon, «ВКонтакте», Тинькофф-банк. Большинство из них предлагают выплаты через платформу HackerOne. Через посредника больше гарантий получить гонорар и оплата производится быстрее, рассказывают участники таких программ.
Но большинство организаций пока по-прежнему не просто не платят за найденные уязвимости, но и реагируют на них так, что инициативному доброжелателю может не поздоровиться. Похоже, что признать соринку в собственном глазу для многих оказывается непосильной задачей.
«Белым хакерам» в такой ситуации можно пожелать обзавестись хорошим юристом и не рассчитывать, что за найденные в чужих системах баги им дадут пирожок. Скорее, не дай бог, догонят и еще дадут.