Aa Aa Aa
Aa Aa Aa
Прочитати вголос
Зупинити читання

Bug Bounty від «Київстар»: як заробити на пошуку вразливостей

Bug Bounty vid «Kyїvstar»: jak zarobyty na pošuku vrazlyvostej

Навесні 2018 року компанія «Київстар» на 2 тижні відкривала доступ до програми Bug Bounty. Будь-який спеціаліст із кібербезпеки міг знайти вразливості у digital-сервісах компанії, повідомити про них та отримати за це фінансову винагороду. Як це працює та які результати дає?
Navesni 2018 roku kompanija «Kyїvstar» na 2 tyžni vidkryvala dostup do programy Bug Bounty. Buď-jakyj specialist iz kiberbezpeky mig znajty vrazlyvosti u digital-servisah kompaniї, povidomyty pro nyh ta otrymaty za ce finansovu vynagorodu. Jak ce pracjuje ta jaki rezuľtaty daje?
Čytaty latynkoju

Спеціальні можливості

Прочитати вголос
Зупинити читання
Контрастна версія
  11 липня Київстар знову надає таку можливість для українських та закордонних фахівців. Зареєструватися у програмі можна за посиланням bugcrowd.com/kyivstar Як виглядає пошук вразливостей, які компанії впроваджують таку практику та чому це вигідно для кіберспільноти? На часі дізнатися про все докладніше. Що таке Bug Bounty від Київстар?. Це програма пошуку потенційних вразливостей на веб-сайтах та в мобільних додатках оператора. З листопада 2017 року Bug Bounty працює в режимі закритого тестування на платформі Bugcrowd (краудсорсинговій платформі, яка об’єднує кіберспеціалістів). Протягом перших 4 місяців тестування фахівці виявили близько 20 потенційно вразливих місць, які оперативно ліквідували вже співробітники компанії. А 13 березня 2018 року оператор відкрив публічний доступ до платформи Bugcrowd. Тестувались система самообслуговування абонентів Мій Київстар, офіційний сайт, сайт інтернет-магазину та низка інших веб-ресурсів оператора. Які результати дав перший період публічного доступу до програми?. Протягом двох тижнів березня 2018 року 160 спеціалістів із кібербезпеки, 17 з яких – українці, перевірили 10 digital-сервісів Київстар. За цей період оператор отримав вшестеро більше повідомлень про можливі вразливості, аніж за попередні чотири місяці закритого тестування. Загалом було отримано близько 300 сповіщень про вразливості та помилки, 52 з них були підтверджені. Максимальний розмір винагороди за вразливість сягнув $1,5 тис. А загальна сума виплат у Bug Bounty наразі становить $26,450. Навіщо це Київстар?. Сьогодні у всьому світі існує великий ризик кібератак. Тому питання захисту даних є одним із ключових і для великого бізнесу загалом, і телеком-операторів зокрема. У компанії наголошують, що розуміють свою відповідальність за надання якісних послуг своїм клієнтам та постійно покращують захист персональних даних абонентів. Адже послугами компанії користуються понад 26 млн українців, тож тестування навіть найменших підозр є надважливим. У першому публічному періоді програми Bug Bounty Київстар залучав кіберспеціалістів з усього світу. У другому — оператор сподівається на участь більшої кількості українських фахівців. Запровадження подібних програм дозволяє запобігати фінансовим та репутаційним втратам. Які компанії в Україні практикують аналогічні програми?. Серед компаній, які практикують винагороди для уважних користувачів — український ПриватБанк. Його програма розпочалася у 2012 році — тоді банк став першим у світі серед фінансових установ, який запропонував премію за пошук вразливостей. За підсумками 2017 року банк виплатив 512 тис грн найактивнішим дослідникам вразливостей. Загалом у процесі брали участь 127 білих хакерів. У березні 2018 року банк відкрив спеціальний сайт зі спрощеною процедурою реєстрації та отримання фінансової винагороди. За 2017 рік переважно багхантери саме цього банку допомагали усувати проблеми на платформі ПриватМаркет та запобігати несанкціонованим втручанням у роботу магазинів. Як у світі колективно шукають вразливості?. Подібні програми у всьому світі проводять не лише оператори мобільного зв’язку чи провайдери інтернету. Серед найбільших організаторів — Google та Facebook. Пошук вразливостей та їх ліквідація для Google вже стали звичною практикою.  А розмір найбільшої винагороди за знайдену помилку у корпорації перевищував $110 тис. За весь час проведення таких програм Google виплатив дослідникам близько $12 млн. Facebook лише за 2017 рік витратив $880 тис на винагороди для білих хакерів. У Міністерстві оборони США виплатили багхантерам близько $150 тис за 138 знайдених вразливостей на сайтах Пентагону та інших онлайн проектах оборонного відомства. Slack, GM та інші корпорації загалом виплатили ентузіастам, котрі шукають та усувають помилки, понад $7 млн. Як долучитися до майбутніх заходів із покращення безпеки від Київстар?. 11 липня 2018 року Київстар знову відкриває програму Bug Bounty та запрошує українських спеціалістів з кібербезпеки на пошуки вразливостей. За знайдені та підтверджені Київстаром вразливості спеціалісти отримуватимуть грошову винагороду.  

11 липня «Київстар» знову надає таку можливість для українських та закордонних фахівців. Зареєструватися у програмі можна за посиланням bugcrowd.com/kyivstar

Як виглядає пошук вразливостей, які компанії впроваджують таку практику та чому це вигідно для кіберспільноти? На часі дізнатися про все докладніше.

Що таке Bug Bounty від «Київстар»?

Це програма пошуку потенційних вразливостей на веб-сайтах та в мобільних додатках оператора. З листопада 2017 року Bug Bounty працює в режимі закритого тестування на платформі Bugcrowd (краудсорсинговій платформі, яка об’єднує кіберспеціалістів). Протягом перших 4 місяців тестування фахівці виявили близько 20 потенційно вразливих місць, які оперативно ліквідували вже співробітники компанії.

А 13 березня 2018 року оператор відкрив публічний доступ до платформи Bugcrowd. Тестувались система самообслуговування абонентів «Мій Київстар», офіційний сайт, сайт інтернет-магазину та низка інших веб-ресурсів оператора.

Які результати дав перший період публічного доступу до програми?

Протягом двох тижнів березня 2018 року 160 спеціалістів із кібербезпеки, 17 з яких – українці, перевірили 10 digital-сервісів «Київстар». За цей період оператор отримав вшестеро більше повідомлень про можливі вразливості, аніж за попередні чотири місяці закритого тестування. Загалом було отримано близько 300 сповіщень про вразливості та помилки, 52 з них були підтверджені.

Максимальний розмір винагороди за вразливість сягнув $1,5 тис. А загальна сума виплат у Bug Bounty наразі становить $26,450.

Bug Bounty — що це та як на цьому заробити в Україні

Навіщо це «Київстар»?

Сьогодні у всьому світі існує великий ризик кібератак. Тому питання захисту даних є одним із ключових і для великого бізнесу загалом, і телеком-операторів зокрема. У компанії наголошують, що розуміють свою відповідальність за надання якісних послуг своїм клієнтам та постійно покращують захист персональних даних абонентів. Адже послугами компанії користуються понад 26 млн українців, тож тестування навіть найменших підозр є надважливим.

У першому публічному періоді програми Bug Bounty «Київстар» залучав кіберспеціалістів з усього світу. У другому — оператор сподівається на участь більшої кількості українських фахівців. Запровадження подібних програм дозволяє запобігати фінансовим та репутаційним втратам.

Які компанії в Україні практикують аналогічні програми?

Bug Bounty від «Київстар»: як заробити на пошуку вразливостей 1

Серед компаній, які практикують винагороди для уважних користувачів — український «ПриватБанк». Його програма розпочалася у 2012 році — тоді банк став першим у світі серед фінансових установ, який запропонував премію за пошук вразливостей.

За підсумками 2017 року банк виплатив 512 тис грн найактивнішим дослідникам вразливостей. Загалом у процесі брали участь 127 «білих» хакерів. У березні 2018 року банк відкрив спеціальний сайт зі спрощеною процедурою реєстрації та отримання фінансової винагороди.

За 2017 рік переважно багхантери саме цього банку допомагали усувати проблеми на платформі «ПриватМаркет» та запобігати несанкціонованим втручанням у роботу магазинів.

Як у світі колективно шукають вразливості?

Подібні програми у всьому світі проводять не лише оператори мобільного зв’язку чи провайдери інтернету. Серед найбільших організаторів — Google та Facebook. Пошук вразливостей та їх ліквідація для Google вже стали звичною практикою.  А розмір найбільшої винагороди за знайдену помилку у корпорації перевищував $110 тис. За весь час проведення таких програм Google виплатив дослідникам близько $12 млн.

Facebook лише за 2017 рік витратив $880 тис на винагороди для «білих» хакерів. У Міністерстві оборони США виплатили багхантерам близько $150 тис за 138 знайдених вразливостей на сайтах Пентагону та інших онлайн проектах оборонного відомства. Slack, GM та інші корпорації загалом виплатили ентузіастам, котрі шукають та усувають помилки, понад $7 млн.

Як долучитися до майбутніх заходів із покращення безпеки від «Київстар»?

11 липня 2018 року «Київстар» знову відкриває програму Bug Bounty та запрошує українських спеціалістів з кібербезпеки на пошуки вразливостей. За знайдені та підтверджені Київстаром вразливості спеціалісти отримуватимуть грошову винагороду.

Зареєструватися

 

Цей матеріал виготовлено та розміщено на комерційній основі.

Якщо ви знайшли помилку, будь ласка, виділіть фрагмент тексту та натисніть Ctrl+Enter.

Додати коментар

Такий e-mail вже зареєстровано. Скористуйтеся формою входу або введіть інший.

Ви вказали некоректні логін або пароль

Вибачте, для коментування необхідно увійти.
Ще

Повідомити про помилку

Текст, який буде надіслано нашим редакторам: