Поиск уязвимостей: Насколько эффективны программы «bug bounty»

уязвимость безопасность конфиденциальные данные
Поиск уязвимостей: Насколько эффективны программы «bug bounty»
уязвимость безопасность конфиденциальные данные

Такие программы представляют опасность не только для личных данных пользователей, но и для компаний.

В последнее время программы по поиску уязвимостей приобретают все большую популярность. Огромное количество компаний учреждают программы вознаграждения за поиск проблем. Среди них крупные IT-компании, такие как Microsoft, Google, Mozilla, Mail.Ru и прочие. Тем не менее, некоторые эксперты довольно обоснованно ставят под сомнение эффективность подобных конкурсов в свете недавнего инцидента с компанией Facebook.

На прошлой неделе SecurityLab писал о конфликте между Facebook и исследователем Уэсли Вайнбергом (Wesley Weinberg), обнаружившем критическую уязвимость в Instagram. Вайнбергу удалось получить доступ к конфиденциальной информации 400 млн пользователей, включая техническую документацию и пользовательский контент. По словам Вайнберга, руководство Facebook потребовало от хакера удалить все загруженные данные, угрожая судебным разбирательством. Как считают в компании, потворство подобному поведению позволит исследователям без последствий нарушать конфиденциальность пользователей и ставит под угрозу существование программ по поиску уязвимостей. Все обвинения в угрозах в адрес Вайнберга в компании отвергают.

В качестве другого примера, иллюстрирующего недобросовестность экспертов, можно привести демонстрацию исследователя Криса Рока (Chris Rock) на конференции Defcon. В рамках выступления Рок представил метод манипулирования системами online-регистрации, позволяющий получить свидетельство о смерти живого человека. Как пояснил эксперт, даная техника может использоваться злоумышленниками как для получения финансовой выгоды, так и для банальной мести.

По мнению эксперта High-Tech Bridge Ильи Колошенко, программы по поиску уязвимостей представляют опасность не только для персональных данных пользователей, но и для самих компаний. С одной стороны, чем больше исследователей будет привлечено к поиску уязвимостей, тем больше проблем будет обнаружено в продукте или системе. Однако, предупреждает эксперт, не все участники внимательно читают условия программы или принимают во внимание стратегию безопасности компании. К тому же, среди претендентов на вознаграждение практически невозможно отличить добросовестных хакеров от недобросовестных.

Тени в интернете всегда следят за вами

Станьте невидимкой – подключайтесь к нашему каналу.

Новости по теме

Полиция задержала группу хакеров, обвиняемых в краже данных у ведущей IT-компании

Интегрируем threat intelligence в систему защиты информации с новой версией PT Threat Analyzer

Брешь в YubiKey Manager или как Microsoft Edge спасает пользователей от взлома

Ваш Intel в безопасности? Microsoft подсказывает, как защититься от уязвимости Spectre

Telegram устранил 0day, используемый для удаленного запуска кода

Конец мукам пересертификации: ФСТЭК идет навстречу ИТ-компаниям

Правительство США в ловушке: зависимость от Microsoft парализует нацбезопасность страны

Новый уровень безопасности: камера стреляет краской и слезоточивым газом

Открыта дверь в будущее: первая успешная передача квантовой информации