Охота за ошибками была ошибочной

в 17:27, , рубрики: bugbounty, Bugcrowd, hackerone, информационная безопасность

На волне постов про уход компаний из РФ на волне санкций практически незаметно для большинства пользователей Рунета прошла новость о закрытии для граждан РФ, Беларуси и Украины площадки HackerOne. Вместе с блокировкой счетов.

Это такая биржа, на которой компании размещали свои программы, а багхантеры искали баги и все были довольны. Обычно такие профессиональные синергии остаются аполитичны, но не в этот раз, руководство h1 сделало ход конём:

Охота за ошибками была ошибочной - 1

Причём под этим «соусом» заблокировала выплату не только русским и белорусским, но и украинским багхантерам:

Охота за ошибками была ошибочной - 2
Охота за ошибками была ошибочной - 3

Под санкции попал и известный украинский багхантер Артем Московский, о котором есть статья на Хабре:

Охота за ошибками была ошибочной - 4

Дело даже не в невозможности вывести средства через российские платежные системы или альтернативные методы — денежные средства блокированы и будут направлены на благотворительность. Но, Mårten Mickos (CEO h1) начинает переобуваться в воздухе по поводу направления этой благотворительности. Максимально заблокированная сумма составляет порядка $100.000.

Также, во множественных комментариях h1 в твиттере указывают, что такая армия специалистов теперь просто будет продавать баги в даркнете — кому от этого станет лучше? Очень плохо, когда профессиональное коммюнити пытаются разделить по политическим взглядам. Есть прекрасный пример коллаборативного общения багхантеров со всего СНГ — t.me/WebPwnChat — где обсуждают технические детали, а не цвета флагов, волос, пол или религиозные убеждения.

Бизнес

С коммюнити разобрались, недовольные ноют, оптимисты ищут выход, а рисковые уходят в даркнет. Теперь к компаниям.

На данный момент заморожены компании VK Group, Yandex, Ozon, СберМаркет и многие другие, вместе с оплатой за хостинг на площадке и депозитом на выплаты багхантерам. Плюс ко всему существует немалая вероятность передачи багов российских вендоров и техногигантов "туда", учитывая плотное сотрудничество h1 с Dept Of Defence и АНБ.

Что делать?

Не лишним будет напомнить, если вы хотите иметь прямую связь с багхантером - разместите в корень сайта файл /security.txt с информацией о связи с командой, как это сделано на mos.ru или gosuslugi.ru.

В РФ существует площадка bugbounty.ru, готовая принять российские компании и багхантеров с hackerone/bugcrowd на лояльных условиях и взаимовыгодном сотрудничестве. Социально-значимые проекты размещаются бесплатно. 

Автор: Лука Сафонов

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js