Не так давно мы в QIWI запустили одну интересную программу – она называется Ethic Hack. По сути мы привлекаем всех желающих к поиску ошибок и багов в интерфейсах системы. Нашел баг, описал его в письме, получил вознаграждение от QIWI – вот так работает схема. Когда программа только запускалась, офис поделился на 2 лагеря: одни верили в успех и в возможность содействия со стороны хакеров, другие же отнеслись к этой затее скептически. Тогда сложно было объективно судить – ничего, кроме вероятных прогнозов у нас не было. А сейчас – есть. И мы как раз хотим поделиться с вами наработанными кейсами.
С момента запуска программы мы получили информацию и исправили более 150 уязвимостей. За отдельные уязвимости мы заплатили до 150 000 рублей, но именно их мы не можем опубликовать их в примерах.
Итак, программа пошла в гору. У нас накопилось немало багов, которые мы исправили благодаря содействию хакеров. Специально для вас мы выделили несколько примеров. Несколько реальных историй Ethic Hack. Читать полностью »
