«ВКонтакте» запустила програму винагород за знайдені на сайті соцмережі і в її офіційних додатках для iOS, Android і Windows Phone уразливості. Про це повідомив операційний директор соцмережі Андрій Рогозів.
Для прийому інформації про уразливість компанія використовує платформу HackerOne . За словами Рогозова, завдяки їй «весь процес від знаходження уразливості до її усунення і виплати винагороди стає максимально швидким і простим».
Раніше компанія отримувала інформацію про проблеми через вбудований сервіс підтримки, пояснив ЦП представник соцмережі Георгій Лобушкін. Через HackerOne «зручно взаємодіяти, швидко переводячи винагороди за знайдені помилки», зазначив він.
Програма обмежена пошуком технічних вразливостей в сервісах «ВКонтакте» і її офіційних мобільних додатках. Мінімальна нагорода - $ 100, стеля виплати, за словами Лобушкіна, не обмежений і залежить від важливості уразливості.
Згідно з умовами програми, «ВКонтакте» не виплачуватиме нагороду за відсутність захисту окремих елементів без опису конкретних прикладів негативних наслідків. Також до уваги береться «отримання фізичного доступу до серверів / інфраструктурі, а також загрози / заподіяння шкоди співробітникам компанії».
Компанія буде виплачувати нагороду тільки першому досліднику, який надіслав повідомлення про проблему. Опис потенційного використання бага збільшить ймовірність отримання винагороди. У компанії відзначають, що якщо вразливість була використана проти користувачів, то нагорода виплачуватися не буде.
У 2013 році хакери Артем Дізичев і Олег Варнов знайшли у «ВКонтакте» XSS-уразливість, яка дозволяла здійснювати дії від імені іншого користувача. В якості подяки за виявлену проблему вони отримали $ 5 тисяч у вигляді голосів - внутрішньої валюти соцмережі.
У травні 2015 року казанський програміст Каміль Хісматуллін виявив можливість отримати пряме посилання на будь-яку фотографію в соцмережі, в тому числі приховані і з особистих повідомлень. В якості нагороди він отримав 10 тисяч голосів (70 тисяч рублів).
Крім «ВКонтакте», платформою HackerOne для прийому вразливостей користуються Mail.Ru Group, Adobe, Slack, Twitter, Dropbox і інші компанії. Згідно з офіційними даними, за весь час існування майданчика, компанії-учасниці виплатили близько $ 3 млн тисячі чотиреста тридцять два хакерам.
# новина # ВКонтакте # вразливість #hackerone # нагорода
