Поделиться
Знаменитый сервис «белых» хакеров отключил пользователей из России и Белоруссии и «зажал» их премии
Хакеры из России и Белоруссии больше не смогут использовать платформу по поиску уязвимостей HackerOne. Компания, которой принадлежит платформа, перестала перечислять пользователям из стран, попавших под санкции, вознаграждения. Не смогут воспользоваться платформой и российские компании. Эксперты отмечают, что на данный момент достойного аналога HackerOne в России нет.
Вход воспрещен
Международная платформа по поиску уязвимостей HackerOne не выплатила белорусскому хакеру $25 тыс. Эту сумму он должен был получить за найденную уязвимость по программе Bug Bounty. Политика компании HackerOne объясняется тем, что хакер находится в зоне санкций. Об этом пишет «Коммерсант» со ссылкой на аккаунт хакера в Twitter.
По программе Bug Bounty («охота за багами») компании выплачивают вознаграждение хакерам за найденные уязвимости в их информационных системах, сервисах или приложениях.
«Хакеры из зон санкций не могут участвовать в финансовых трансакциях, поэтому вознаграждения за найденные ими уязвимости будут перенаправлены ЮНИСЕФ (Детский фонд ООН)», — написал у себя в Twitter гендиректор HackerOne Мартен Микос (Marten Mickos). Позже Микос уточнил, что компания пересылает вознаграждения хакеров в фонд только после их согласия. Но HackerOne удерживает оплату хакерам из стран, подпадающих под санкции (Россия, Белоруссия и т. д.).
На данный момент всех русских и белорусских хакеров удалили из HackerOne, подтвердил независимый эксперт по информационной безопасности Денис Батранков.
Есть ли альтернатива
По программе Bug Bounty в России работают «Яндекс», Ozon, VK, банк «Тинькофф» и пр. Большинство из них предлагали выплаты именно через HackerOne. Исследователи могут продолжить использовать эту платформу, зарегистрировав аккаунт на лицо, не связанное с Россией или Белоруссией, допускает ведущий инженер CorpSoft24 Михаил Сергеев. По его мнению, серьезных конкурентов у HackerOne в России нет. «Делать упор на разработку сервиса именно для России — плохой вариант. У нас мало компаний, которые выделяют деньги на такие услуги, аналог должен быть интернациональным», — подчеркивает он.
У «Яндекса» были отдельные проекты на HackerOne, но компания полностью перешла на собственный сервис «Охота за ошибками», рассказал «Коммерсанту» источник, знакомый с ситуацией. В VK также ищут новые решения и платформы для продолжения программы Bug Bounty.
В «Тинькофф» рассказали, что у банка после приостановки деятельности HackerOne нет технической возможности продолжать программу Bug Bounty на этой платформе. По его словам, российские компании рассматривают отечественный аналог HackerOne от «Ростелекома».
Создание российской платформы для выявления уязвимостей в государственных информационных системах обсуждают в Минцифры, рассказали в министерстве. В Positive Technologies и «Ростелекоме» отказались от комментариев. Подобную платформу хотела запустить в мае 2022 г. российская ИБ-компания Positive Technologies.
Негативные последствия
Сложности с выплатой вознаграждения по Bug Bounty наносят ущерб не только исследователям, но и компаниям и их клиентам — снижается уровень защиты пользователей во всем мире, говорит главный технологический эксперт «Лаборатории Касперского» Александр Гостев. «Поиск уязвимостей должен вестись непрерывно, только так можно снизить потенциальные риски кибербезопасности», — считает он.
Заработок теряют и российские «белые» хакеры. У крупных российских компаний встречаются вознаграждения более $10 тыс. за найденные критические уязвимости, подчеркнул руководитель блока анализа защищенности Infosecurity a SoftlineCompany Андрей Найденов. Он также отметил, что в небольших компаниях и вознаграждения небольшие, а в каких-то они отсутствуют вовсе.
Короткая ссылка
