Международная платформа HackerOne, выступающая посредником между компаниями, которые хотят проверить безопасность своих IT-систем, и хакерами, получающими вознаграждение за поиск в них уязвимостей (багов), остановила выплаты пользователям из России и Белоруссии. Потеряли возможность пользоваться HackerOne и российские компании, теперь они активно ищут альтернативы. Создание подобной платформы в России анонсировали «Ростелеком» и Positive Technologies, но достойного аналога пока нет, признают эксперты, и создавать его только для одной страны бессмысленно.
Фото: Евгений Павленко, Коммерсантъ
Крупнейшая в мире платформа по поиску уязвимостей HackerOne не выплатила белорусскому хакеру $25 тыс. за найденную уязвимость по программе Bug Bounty, поскольку он «из зоны санкций». Об этом он написал в своем аккаунте в Twitter, прикрепив цитату гендиректора HackerOne Мартена Микоса от 3 марта: «Хакеры из зон санкций не могут участвовать в финансовых трансакциях, поэтому вознаграждения за найденные ими уязвимости будут перенаправлены ЮНИСЕФ (Детский фонд ООН)». Позже 13 марта господин Микос уточнил в Twitter, что HackerOne пересылает вознаграждения хакеров на пожертвования, только если они сами так решат, но удерживает оплату хакерам из регионов, подпадающих под санкции (Россия, Белоруссия и т. д.).
Bug Bounty («охота за багами») — программа, в рамках которой компании выплачивают вознаграждение «белым хакерам» за найденные уязвимости в их информационных системах, сервисах или приложениях. Bug Bounty внедряют большинство международных корпораций, но в России пока публично о работе в этом направлении заявляли только крупные компании, в числе которых «Азбука вкуса», «Яндекс», Ozon, VK, Тинькофф-банк. Большинство из них предлагали выплаты через HackerOne.
У крупных российских компаний встречаются вознаграждения более $10 тыс. за найденные критические уязвимости, рассказал руководитель блока анализа защищенности Infosecurity a SoftlineCompany Андрей Найденов, тогда как в небольших они могут составлять менее $1 тыс. или не платиться вовсе.
Сейчас всех русских и белорусских исследователей удалили из HackerOne и других платформ, подтверждает независимый эксперт по информационной безопасности Денис Батранков.
«HackerOne приостановил деятельность на территории России, в этой связи у нас нет технической возможности продолжать программу Bug Bounty на этой платформе»,— рассказал “Ъ” представитель «Тинькофф». По его словам, российские компании рассматривают отечественный аналог платформы от «Ростелекома», но есть вопросы с привлечением на нее исследователей. У «Яндекса» были отдельные проекты на HackerOne, но компания полностью перешла на собственный сервис «Охота за ошибками», говорит источник, знакомый с ситуацией. В VK также ищут новые решения и платформы для продолжения программы Bug Bounty.
О том, что «Ростелеком» планирует создать аналог HackerOne, стало известно в сентябре 2021 года. Подобную платформу хотела запустить в 2022 году Positive Technologies (см. “Ъ” от 26 ноября 2021 года). Создание российской платформы Bug Bounty для выявления уязвимостей в государственных информационных системах обсуждают и в Минцифры, рассказали “Ъ” в министерстве. В Positive Technologies и «Ростелекоме» отказались от комментариев.
3 тысячи долларов
составляло максимальное вознаграждение Ozon по программе Bug bounty в 2021 году.
Исследователи могут продолжить использовать HackerOne, зарегистрировав аккаунт на лицо, не связанное с РФ или Белоруссией, допускает ведущий инженер CorpSoft24 Михаил Сергеев. По его мнению, серьезных конкурентов у HackerOne в России нет: «Делать упор на разработку сервиса именно для РФ — плохой вариант. У нас мало компаний, которые выделяют деньги на такие услуги, аналог должен быть интернациональным».
Сложности с выплатой вознаграждения по Bug Bounty наносят ущерб не только исследователям, но и компаниям и их клиентам — снижается уровень защиты пользователей во всем мире, отмечает главный технологический эксперт «Лаборатории Касперского» Александр Гостев: «Поиск уязвимостей должен вестись непрерывно, только так можно снизить потенциальные риски кибербезопасности».