На волне постов про уход компаний из РФ на волне санкций практически незаметно для большинства пользователей Рунета прошла новость о закрытии для граждан РФ, Беларуси и Украины площадки HackerOne. Вместе с блокировкой счетов.
Это такая биржа, на которой компании размещали свои программы, а багхантеры искали баги и все были довольны. Обычно такие профессиональные синергии остаются аполитичны, но не в этот раз, руководство h1 сделало ход конём:
Платформы баг-баунти — HackerOne, Bugcrowd и Synack — служат посредниками между белыми хакерами и компаниями, которые хотят улучшить безопасность своих продуктов. При правильном использовании логика простая:
Но в реальности всё работает иначе. Как показало расследование CSO, компании и платформы баг-баунти настолько перевернули раскрытие уязвимостей с ног на голову, что многие эксперты, включая бывшего директора по политике HackerOne Кэти Муссури, называют это «извращением».
Читать полностью »
Пополнение в списке программ выплаты вознаграждений за найденные уязвимости (bug bounty). Теперь белые хакеры-исследователи могут претендовать на получение до $10 000, если найдут уязвимости в принтерах HP. Компания объявила о запуске программы 31 августа — и стала первым в мире производителем принтеров, который будет платить за баги.
Уязвимости в принтерах и других периферийных устройствах часто становятся мишенью для хакеров. Если домашний принтер для этой цели практически бесполезен, то в корпоративной среде такое устройство обычно подключено к локальной сети и может использоваться как точка входа, особенно если системные администраторы не следят за своевременным обновлением прошивок. Согласно отчёту 2018 State of Bug Bounty Report от Bugcrowd, за последние 12 месяцев (с 1 апреля 2017 г. по 31 марта 2018 г.) количество найденных багов выросло на 21% по сравнению с предыдущим годом.
Читать полностью »
