Платформа для «белых хакеров» отключила пользователей из России и Белоруссии

Об этом, по сообщению "Коммерсанта", хакер написал в своем аккаунте в Twitter, прикрепив цитату гендиректора HackerOne Мартена Микоса от 3 марта: «Хакеры из зон санкций не могут участвовать в финансовых трансакциях, поэтому вознаграждения за найденные ими уязвимости будут перенаправлены ЮНИСЕФ (Детский фонд ООН)». Позже 13 марта господин Микос уточнил в Twitter, что HackerOne пересылает вознаграждения хакеров на пожертвования, только если они сами так решат, но удерживает оплату хакерам из регионов, подпадающих под санкции (Россия, Белоруссия и т. д.).

Bug Bounty («охота за багами») — программа, в рамках которой компании выплачивают вознаграждение «белым хакерам» за найденные уязвимости в их информационных системах, сервисах или приложениях. Bug Bounty внедряют большинство международных корпораций, но в России пока публично о работе в этом направлении заявляли только крупные компании, в числе которых «Азбука вкуса», «Яндекс», Ozon, VK, Тинькофф-банк. Большинство из них предлагали выплаты через HackerOne.

Сейчас всех русских и белорусских исследователей удалили из HackerOne и других платформ, подтверждает независимый эксперт по информационной безопасности Денис Батранков.

«HackerOne приостановил деятельность на территории России, в этой связи у нас нет технической возможности продолжать программу Bug Bounty на этой платформе»,— рассказал “Ъ” представитель «Тинькофф». По его словам, российские компании рассматривают отечественный аналог платформы от «Ростелекома», но есть вопросы с привлечением на нее исследователей. У «Яндекса» были отдельные проекты на HackerOne, но компания полностью перешла на собственный сервис «Охота за ошибками», говорит источник, знакомый с ситуацией. В VK также ищут новые решения и платформы для продолжения программы Bug Bounty.

О том, что «Ростелеком» планирует создать аналог HackerOne, стало известно в сентябре 2021 года. Подобную платформу хотела запустить в 2022 году Positive Technologies. Создание российской платформы Bug Bounty для выявления уязвимостей в государственных информационных системах обсуждают и в Минцифры, рассказали “Ъ” в министерстве. В Positive Technologies и «Ростелекоме» отказались от комментариев.

Исследователи могут продолжить использовать HackerOne, зарегистрировав аккаунт на лицо, не связанное с РФ или Белоруссией, допускает ведущий инженер CorpSoft24 Михаил Сергеев. По его мнению, серьезных конкурентов у HackerOne в России нет: «Делать упор на разработку сервиса именно для РФ — плохой вариант. У нас мало компаний, которые выделяют деньги на такие услуги, аналог должен быть интернациональным».

Сложности с выплатой вознаграждения по Bug Bounty наносят ущерб не только исследователям, но и компаниям и их клиентам — снижается уровень защиты пользователей во всем мире, отмечает главный технологический эксперт «Лаборатории Касперского» Александр Гостев: «Поиск уязвимостей должен вестись непрерывно, только так можно снизить потенциальные риски кибербезопасности».

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!