Поиск уязвимостей: Насколько эффективны программы «bug bounty»

image

Теги: уязвимость, безопасность, конфиденциальные данные

Такие программы представляют опасность не только для личных данных пользователей, но и для компаний.

В последнее время программы по поиску уязвимостей приобретают все большую популярность. Огромное количество компаний учреждают программы вознаграждения за поиск проблем. Среди них крупные IT-компании, такие как Microsoft, Google, Mozilla, Mail.Ru и прочие. Тем не менее, некоторые эксперты довольно обоснованно ставят под сомнение эффективность подобных конкурсов в свете недавнего инцидента с компанией Facebook.

На прошлой неделе SecurityLab писал о конфликте между Facebook и исследователем Уэсли Вайнбергом (Wesley Weinberg), обнаружившем критическую уязвимость в Instagram. Вайнбергу удалось получить доступ к конфиденциальной информации 400 млн пользователей, включая техническую документацию и пользовательский контент. По словам Вайнберга, руководство Facebook потребовало от хакера удалить все загруженные данные, угрожая судебным разбирательством. Как считают в компании, потворство подобному поведению позволит исследователям без последствий нарушать конфиденциальность пользователей и ставит под угрозу существование программ по поиску уязвимостей. Все обвинения в угрозах в адрес Вайнберга в компании отвергают.

В качестве другого примера, иллюстрирующего недобросовестность экспертов, можно привести демонстрацию исследователя Криса Рока (Chris Rock) на конференции Defcon. В рамках выступления Рок представил метод манипулирования системами online-регистрации, позволяющий получить свидетельство о смерти живого человека. Как пояснил эксперт, даная техника может использоваться злоумышленниками как для получения финансовой выгоды, так и для банальной мести.

По мнению эксперта High-Tech Bridge Ильи Колошенко, программы по поиску уязвимостей представляют опасность не только для персональных данных пользователей, но и для самих компаний. С одной стороны, чем больше исследователей будет привлечено к поиску уязвимостей, тем больше проблем будет обнаружено в продукте или системе. Однако, предупреждает эксперт, не все участники внимательно читают условия программы или принимают во внимание стратегию безопасности компании. К тому же, среди претендентов на вознаграждение практически невозможно отличить добросовестных хакеров от недобросовестных.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.