Home

Виталий Рудных

13 февраля 2018

Российский bug bounty

Странное сочетание, Россия и Bug Bounty. В большинстве случаев, в этой стране, после сообщения об уязвимости вас скорее всего пошлют на хер, будут угрожать, либо просто заигнорят. Но, не все так грустно. Есть еще компании которые адекватно реагируют и даже платят вознаграждения специалистам по безопасности.

Программа Bug Bounty — это программа, предлагаемая многими веб-сайтами и разработчиками программного обеспечения, с помощью которой люди могут получить признание и вознаграждение за нахождение ошибок, особенно тех, которые касаются эксплойтов и уязвимостей.

В 2016 году в СМИ сообщалось о том что Минкомсвязь РФ планирует привелкать хакеров для поиска уязвимостей в отечественном софте. По состоянию на 2018 год, как мне известно, никакого Bug Bounty у нас не появилось.

С российским баг баунти я стараюсь вообще не работать, но порой дыры настолько очевидные что я просто не могу промолчать и не сообщить о них. Ниже приведу список наиболее известных Российских компаний с которыми я работал и которым отправлял репорты о дырах:

Почта России - у компании очень серьезные проблемы во внутренних коммуникациях. Изначально об обнаруженной XSS я сообщил по двум каналам: e-mail и twitter. На электронную почту мне так никто и не ответил, в твиттере была шаблонная отписка по типу “Почистите кеш браузера”. Достучаться до технических специалистов через твиттер я так и не смог. В результате, на сайте до сих пор есть уязвимость, о которой я сообщал более года назад.

РЖД - сообщал об XSS два года назад. Фидбека вообще никакого не было. Насколько мне известно, дыра до сих пор не закрыта.

Kwork - фриланс биржа, дело было давно, подробностей уязвимости не помню. Толи RFI, толи RCE. На почту ответили в течение суток, дыру пофиксили, сказали спасибо.

Вконтакте - у них есть профиль на HackerOne, с Bug Bounty все в порядке. Пофиксили уязвимость в течение месяца. Заплатили 100$ на paypal.

Ролтон - написал на email, ответа не получил. Написал в сообществе ВКонтакте, ответили что-то типа: “Если потребуется, то вам обязательно ответят”. Так и не ответили.

Reg.ru - нашел безобидный XSS, сообщил о нем в Twitter, о вознаграждении даже не думал, специалисты из reg.ru сами написали в ЛС и предложили выплату. Заплатили 1000р.

p.s. Добавил в раздел /about ссылку на свой профиль на HackerOne.

p.p.s. Недавно обнаружил пару критических уязвимостей на двух не особо крупных ресурсах, написал репорты, посмотрим что ответят.

scribble