За что Facebook платит деньги хакерам.

 
 0

Опубликовано: 11 апреля 20:47

 

Понятие «хакер» у большинства из нас ассоциируется с достаточно негативным персонажем, и именно поэтому описания многих антивирусных продуктов особое внимание уделяют тому, что продукт «эффективно противостоит хакерским атакам». Впрочем, на самом деле деятельность хакеров далеко не так однозначна, и многие из них получают существенный заработок вполне официальным путем.

В прошлом году всем известная социальная сеть Facebook предложила заплатить тем хакерам, которые смогут обнаружить бреши в самой социальной сети. Естественно, не задаром: руководство соцсети потратило на оплату труда нанятых хакеров полтора миллиона долларов – так говорится в отчете компании. Над поиском уязвимостей работало 330 человек, однако успехом увенчались усилия лишь некоторых из них.

В ходе исследования Facebook на предмет уязвимостей выделилось 4 страны-лидера: Россия, Бразилия, Индия и США. Именно представители этих стран значительно опередили остальных по количеству найденных багов. Больше всего смогли обнаружить индусы (а компьютерная общественность еще потешается над «индийским кодом»!) – 136 ошибок, за которые в сумме они получили 184 тысячи долларов. На втором по количеству месте американцы, которым посчастливилось обнаружить 92 бага и получить 209 тысяч долларов. Такая странность в стоимости объясняется вовсе не предвзятым отношением: хотя в среднем Facebook выплачивала за найденный баг по 4 тысячи долларов, стоимость варьировалась в зависимости от сложности найденной уязвимости.

Российские хакеры смогли выявить только 38 багов за год, а бразильцам удалось поработать несколько более эффективно – 53 ошибки (150 тысяч и 200 тысяч долларов соответственно). Однако не спешите сокрушаться по поводу того, что наши соотечественники оказались всего лишь четвертыми по количеству: и представители России, и, если можно так выразиться, коллеги из Бразилии смогли найти намного более существенные баги Facebook, чем индусы и американцы.

Алекс Райс, специалист по информационной безопасности Facebook, высказал следующее:

«Они находят вещи, которые мы не можем обнаружить»

Действительно, хотя в сфере безопасности Facebook работают явно не люди с улицы, звезды хакерского мира порой поражают своими способностями даже их. Так, в топ самых успешных хакеров вошел бывший инженер-программист из Бразилии (Сан-Жозе-дус-Кампус) по имени Режанальдо Силва, который в свои 27 лет смог добиться существенных высот в данном направлении. Самой существенной уязвимостью, обнаруженной в рамках данного проекта Facebook этим специалистом, оказался баг, использование которого позволило бы злоумышленникам получить доступ к серверам и коду социальной сети. К чему это могло бы привести? Естественно, к потере аккаунтов и распространению вирусов среди многочисленных пользователей.

Эта находка была вознаграждена не только солидной суммой 33,5 тысяч долларов, но и предложением вакансии в Facebook. Впрочем, это не означает, что Силва целый год корпел над Facebook для того, чтобы только в ноябре выдать информацию об одном-единственном баге: всего он смог обнаружить более десятка уязвимостей. Кстати, способности смышленого бразильца оценили не только в Facebook, но и в Google: по мнению экспертов поискового гиганта, не так давно запускавшего аналогичную программу поиска багов, Силва достоин места в пятерке лучших.

Программа Facebook, обещающая солидные награждения ловцам багов, существует не первый год, и с каждым годом только набирает обороты. В 2013 году Facebook пришлось разгребать целых 15 тысяч заявок – это на 246% больше, чем в 2012 году. А теперь представьте, что только 687 из всех этих 15 тысяч оказались корректными (а, значит, достойными какого-либо вознаграждения). Если пойти далее, то лишь 6% найденных багов оказались потенциальными носителями вполне серьезной угрозы.

Специалист по защите информации Facebook Колин Грин отметил:

«Мы слышим от исследователей, что все сложнее найти хорошие уязвимости. Объем критических ошибок снижается. Тем не менее, Facebook продолжит увеличивать объемы вознаграждений тем, кто будет работать над нахождением угроз для стабильности социальной сети».

Действительно, с 2011 года в кошельки хакеров со счетов Facebook уже утекло порядка 2 млн долларов. При этом Facebook вовсе не является единственной компанией, использующим такой своеобразный аутсорсинг: и уже упомянутый Google, и Yahoo, и Mozilla, и Hewlett-Packard готовы поделиться деньгами с теми, кто укажет на уязвимости их системы. Не отстают и российские представители – поисковик Яндекс еще в 2012 году запустил проект «Охота за ошибками».

Руководитель группы продуктовой безопасности Яндекса Тарас Иващенко рассказал об «Охоте за ошибками» следующее:

«Сейчас нам присылают около 300 писем за месяц, только 10-20 из них реально содержат полезную информацию. Больше всего наград уходит в Россию, Украину, Индию, а сигналы о самых сложных уязвимостях приходят еще из Польши и Швеции».

Яндекс, как и Facebook, платит не фиксированную стоимости за один найденный баг. Все зависит от того, на каком сервисе была обнаружена уязвимости. Если вам посчастливится найти брешь в одном из основных сервисов – например, в Почте, в Яндекс-диске, указать на уязвимости Моего Круга или вовсе открыть значимую дыру на главной странице – то можете смело обращаться за выплатой, которая составит порядка 100 тысяч. Впрочем, почему же «посчастливится»; Яндекс – компания крупная, и работают там профессионалы, поэтому найти сколь-либо значимую брешь и удается лишь единицам.


Лев Давыдов aka SaDLer

Оставьте сообщение

Имя:

Комментарий:


 
 
Программное обеспечение для бизнеса
Корзина пуста

+7 (499) 381-68-71