Администрация российской соцсети "Вконтакте" намерена выплачивать денежное вознаграждения пользователям, сумевшим выявить уязвимости в работе социальной сети. Более детально о намерении администрации соцсети финансово поощрять пользователей, обнаруживших уязвимости, узнавали журналисты раздела "Новости Интернета" издания "Биржевой лидер".
Андрей Рогозов, возглавляющий отдел разработки "Вконтакте", сообщил, что администрация социальной сети запускает программу, в рамках которой пользователи, сумевшие обнаружить уязвимости внутри соцсети, будут получать за это денежное вознаграждение. Сообщить о найденной бреши пользователи смогут через платформу HackerOne – в частности, на выявленные багги они могут пожаловаться через сервисы компании: vk.cc, vkmessenger.com, login.vk.com, vk-cdn.net, vkontakte.ru, vk.com, vk.me, а также с помощью официальных мобильных приложений "ВКонтакте" (WinPhone, iPhone/iPad, Android).
При этом администрация социальной сети отметила и некоторые исключения, которые не будут приниматься в качестве уязвимостей. Это, например, оповещения от сканеров безопасности, а также оповещения от других автоматических систем. Не будут приниматься сообщения, основанные на версиях ПО/протокола, в которых не будет содержаться указание реального применения. Не будут приниматься сообщения, уведомляющие о несоответствии рекомендациям или об отсутствии механизма защиты без указания на реальные негативные последствия.
В качестве уязвимостей не будут принимать социальную инженерию, Logout CSRF, framing, clickjacking и сообщения об Open Redirect. Более того, администрация "Вконтакте" предупреждает, что получение физического доступа к инфраструктуре и серверам компании, а также угрозы в адрес сотрудников компании ил причинение им вреда будут преследоваться согласно нормам действующего российского законодательства.
Объяснили администраторы социальной сети и свои пожелания к отчетам, которые они ожидают от пользователей, следование которым увеличивает вероятность получения ими финансового вознаграждения. В частности, администраторы хотят видеть в присланных сообщениях указание сервиса, в котором пользователям удалось обнаружить уязвимость, тип обнаруженной уязвимости, а также описание того, как можно данную уязвимость поэксплуатировать, повторить и как ее можно исправить с точки зрения самого пользователя.
Указан также и минимальный размер финансового вознаграждения за обнаружение багов в работе сервисов социальной сети – 100 долларов. Сумма награды может быть и выше, и ее размер будет прямо пропорционален тому, насколько серьезной будет выявленная пользователем уязвимость. Все выплаты пользователям будут осуществляться только через сервис HackerOne, причем не всем, а только тому, кто первым сообщит администрации о той или иной обнаруженной им уязвимости. Администрация также предупреждает, что "ВКонтакте" крайне негативно относятся к использованию обнаруженных уязвимостей в работе сервисов социальной сети против других пользователей: подобные случаи полностью исключают выплату финансового вознаграждения.
Компания Google занялась поиском уязвимостей в Сети.
Напомним, что летом прошлого года компания Google также озаботилась проблемой уязвимости, однако, в отличие от "Вконтакте", в данном случае масштаб более широкий – была создана команда Project Zero, в состав которой вошли опытные специалисты в сфере информационной безопасности, которые начали поиск уязвимостей в работе сети Интернет.
В сообщении компании отмечено, что пользователи Сети должны иметь возможность доступа к ней без опасения возможного заражения своих компьютеров злоумышленниками или хакерами, финансируемыми тем или иным государством с целью похищения личной информации пользователей или отслеживания их коммуникаций. В Google объяснили, что в сети Интернет, согласно данным компании, присутствуют так называемые "уязвимости нулевого дня", при помощи которых злоумышленник довольно легко может отслеживать деятельность, например, правозащитника, или заниматься ведением промышленного шпионажа.
Команда Project Zero как раз и была создана с целью предотвращения подобных инцидентов, причем набор сотрудников в команду был продолжен даже после ее формирования. Среди тех, кто стал первыми ее членами – известные британские специалисты Йен Бир и Тэвис Орманди, а также специалист в сфере информационной безопасности из Новой Зеландии Бен Хоукс.
По словам представителей Google, создание команды Project Zero станет вкладом компании в дело защиты пользователей Сети от атак кибер-злоумышленников. Они надеются, что данный проект поможет исключить выявления хакерами уязвимостей и "дыр" в защите глобальной Сети, таких как Heartbleed.
Напомним, что последняя затронула довольно большое количество интернет-сервисов и сайтов, поскольку теоретически предоставляет злоумышленникам возможность расшифровки данных, которые были закодированы при помощи OpenSSL. При этом задача, поставленная перед специалистами из Project Zero, заключается не только в поиске уязвимостей в сервисах Google и в программном обеспечении компании, но и в продуктах других компаний, которыми пользуются многие пользователи Сети.
