VK за три месяца выплатила 3 млн рублей исследователям и белым хакерам за информацию об уязвимостях в проектах компании.
Программа поиска уязвимостей в экосистеме VK доступна на платформе Standoff 365 Bug Bounty, разработчиком которой выступает Positive Technologies.
VK пояснила, что получила от экспертов, зарегистрированных на портале Standoff 365 Bug Bounty, 300 отчетов об уязвимостях в сервисах компании. Более половины сообщений разработчики VK признали существенными, а выявленные на их основе уязвимости были оперативно устранены.
За эти уязвимости более 50 белых хакеров получили вознаграждение. Размер выплат составил от 3 тыс. рублей за уязвимость с низким уровнем опасности до 750 тыс. рублей за баг высокой опасности или критическую проблему.
«Мы разместили нашу программу по поиску уязвимостей на Standoff 365 три месяца назад и уже видим положительные результаты ее работы. За это время внешние эксперты помогли нам усовершенствовать и усилить защиту наших сервисов. VK стремится предоставить комфортные условия для пользователей, обеспечение сохранности и конфиденциальности их данных – наш приоритет. Помимо создания собственных технологических решений мы продолжим сотрудничество с ведущими российскими IT-компаниями, чтобы наши продукты были максимально безопасными», — заявил директор по информационной безопасности VK Алексей Волков.
В августе VK объявила об участии в Standoff 365 Bug Bounty. В настоящее время компания разместила на платформе Positive Technologies программы по поиску уязвимости в 20 сервисах экосистемы VK, включая «Дзен», соцсети «ВКонтакте» и «Одноклассники». Максимальная выплата, согласно информации VK, может быть 1,8 млн рублей за критическую уязвимость в сервисах Mail.ru или в инфраструктуре "ВКонтакте".
20 сентября 2022 года «Яндекс» сообщил, что мотивационной программе выплат белым хакерам «Охота за ошибками» исполняется 10 лет. В честь этого события «Яндекс» до 20 октября увеличивает выплаты за найденные уязвимости в сервисах компании в 10 раз. Если, например, сейчас за критичный баг в умных устройствах с «Алисой» указана выплата 300 тыс. рублей, то с 20 сентября до 20 октября она составит «х10», то есть 3 млн. рублей. Максимальная выплата за уязвимость с выполнением произвольного кода в программном обеспечении или сервисах «Яндекса» в этот период может составить до 7,5 млн. рублей.
Источник новости: habr.com