Aa Aa Aa

Как заработать $ 60 тыс. на web-уязвимостях

Наталья Килюшик
Как заработать $ 60 тыс. на web-уязвимостях

Продвинутый юзер может легально заработать, вычисляя баги  в работе популярных онлайн-сервисов. Для этого не обязательно быть хакером.  «Мертвые» горячие клавиши при включенной русской раскладке клавиатуры в Linux, сомнительные «редиректы», искажение кириллицы –  на таких простых вещах «первой пташке», грамотно описавшей проблему компании, удаётся заработать десятки тысяч долларов.

Безопасность  сервисов, типа Google.com, Youtube.com, Blogger.com, Youtube.com, оценивается в 500 долларов.  Если же удастся обнаружить какие-то сложноскореняемые уязвимости, сумма «подскочит» до  3 133,7 долларов. В ходе поиска ошибок  даже допускаются эксперименты, типа попытки взлома – Google обещает за решетку не сажать.

Немного раньше подобную программу уже запускали для сервиса Google Chrome. Около 50 энтузиастов, обнаруживших уязвимости, получили тогда финансовое вознаграждение. В рамках программы Chromium Security Reward, запущенной в 2010 году, любой желающий может попробовать обнаружить проблемы безопасности в браузере Google Chrome и получить материальное вознаграждение, в зависимости от критичности найденной «дырки».

Так, примерно год назад гугловцы отдельно отблагодарили Сергея Глазунова и выдали ему первую “elite” Chromium Security Reward размером чуть больше  $ 3 тыс. Об этом они написали в stable-релизе Chrome.

Сергей Глазунов стал первым участником программы, получившим такую крупную награду. Всего с начала программы он обнаружил 17 уязвимостей в браузере и заработал  в общей сложности под $ 80 тысяч.

 

Кроме Google, на тропу войны с web-уязвимостями стал  Яндекс, запустив конкурс  «Охота за ошибками».  Юзерам предлагается искать ошибки на веб-сервисах и мобильных приложениях  Яндекса для iOS и Android, которые работают с личной информацией пользователей. Имеются ввиду пароли/логины, фото- и видеоальбомы, переписка.  Домены веб-сервисов: yandex.ru, yandex.com, yandex.com.tr, yandex.kz, yandex.ua, yandex.by, yandex.net, yandex.st, ya.ru, moikrug.ru (кроме доменов сервиса Яндекс. Народ). Мобильные приложения: Карты, Навигатор, Музыка, Такси, Почта, Маркет, Метро, Фотки, Электрички, Диск.

Размеры наград:

 

Для тестирования и демонстрации уязвимостей разрешается использовать только свою учётную запись. Взламывать чужие аккаунты ни в коем случае нельзя. В течение 90 дней после отправки сообщения об уязвимости в Яндекс нельзя раскрывать подробности о ней кому-либо ещё, в том числе публиковать их. Также необходимо приложить все разумные усилия для того, чтобы эта информация не стала доступна «третьим» сторонам.

Похожая по идее, но никак не по сопровождению логикой, программа от Мозиллы –  «Деньги за исправление багов».  Цель разработчиков идеи благородная  – обезопасить пользователей продуктов Mozilla Foundation.

Однако, условия сотрудничества весьма «скользкие».  Чёткие гарантии отсутствуют. Например, программа теоретически может быть прекращена в любое время без предварительного уведомления. Помимо этого,  организаторы призывают подключаться к программе  всех желающих «спонсоров»,  предоставляя им право увеличивать  награды и объявлять новые задания. Однако, Mozilla Россия «не несёт никакой ответственности за выплату вознаграждения, назначенного сторонними организациями или частными лицами», о чём торжественно сообщает на своей странице.

Некоторые компании, например, Microsoft, за найденные багги не платят принципиально. Знакомые программисты как-то сгенерировали генератор ключей к одной из версий Windows и обратились к «мелкомягким» с предложением сдать баг за деньги. В Microsoft им ответили четким НЕТ. Парни не растерялись и открыли сайт по продаже кейгена всего за $ 5. В итоге заработок с лихвой покрыл предполагаемую компенсацию от разработчика софта, а компания через несколько лет развилась в одного известного поставщика продуктов по защите приватных данных.

Желающим заработать, вычисляя чужие ошибки, стоит  регулярно посещать форумы  разработчиков антивирусов, сайты antichat.ru,  hackzona.ru и пр.. Кроме этого, получить деньги можно, поучаствовав в развитии программы в обмен на её бесплатную регистрацию, благодаря Софт@Mail.ru. Также на сегодня актульно сотрудничество с Verisign iDefense  или участие в реферальной программе от  Zero Day Initiative. ZDI предполагает повышение статуса активного участника по «истреблению багов» до золотого, благодаря накопленным баллам. Предполагается  «набегание» процентов.

Часто  сложности в сотрудничестве возникают в процессе выяснения, кто же первым обнаружил баг и как, в связи с этим, распределять призовой фонд. В итоге денежное вознаграждение существенно ниже, чем на чёрном рынке.  Сколько платят на черном рынке, мы подробно напишем в одной из следующих статей.