11 липня «Київстар» знову надає таку можливість для українських та закордонних фахівців. Зареєструватися у програмі можна за посиланням bugcrowd.com/kyivstar
Як виглядає пошук вразливостей, які компанії впроваджують таку практику та чому це вигідно для кіберспільноти? На часі дізнатися про все докладніше.
Що таке Bug Bounty від «Київстар»?
Це програма пошуку потенційних вразливостей на веб-сайтах та в мобільних додатках оператора. З листопада 2017 року Bug Bounty працює в режимі закритого тестування на платформі Bugcrowd (краудсорсинговій платформі, яка об’єднує кіберспеціалістів). Протягом перших 4 місяців тестування фахівці виявили близько 20 потенційно вразливих місць, які оперативно ліквідували вже співробітники компанії.
А 13 березня 2018 року оператор відкрив публічний доступ до платформи Bugcrowd. Тестувались система самообслуговування абонентів «Мій Київстар», офіційний сайт, сайт інтернет-магазину та низка інших веб-ресурсів оператора.
Які результати дав перший період публічного доступу до програми?
Протягом двох тижнів березня 2018 року 160 спеціалістів із кібербезпеки, 17 з яких – українці, перевірили 10 digital-сервісів «Київстар». За цей період оператор отримав вшестеро більше повідомлень про можливі вразливості, аніж за попередні чотири місяці закритого тестування. Загалом було отримано близько 300 сповіщень про вразливості та помилки, 52 з них були підтверджені.
Максимальний розмір винагороди за вразливість сягнув $1,5 тис. А загальна сума виплат у Bug Bounty наразі становить $26,450.
Навіщо це «Київстар»?
Сьогодні у всьому світі існує великий ризик кібератак. Тому питання захисту даних є одним із ключових і для великого бізнесу загалом, і телеком-операторів зокрема. У компанії наголошують, що розуміють свою відповідальність за надання якісних послуг своїм клієнтам та постійно покращують захист персональних даних абонентів. Адже послугами компанії користуються понад 26 млн українців, тож тестування навіть найменших підозр є надважливим.
У першому публічному періоді програми Bug Bounty «Київстар» залучав кіберспеціалістів з усього світу. У другому — оператор сподівається на участь більшої кількості українських фахівців. Запровадження подібних програм дозволяє запобігати фінансовим та репутаційним втратам.
Які компанії в Україні практикують аналогічні програми?
Серед компаній, які практикують винагороди для уважних користувачів — український «ПриватБанк». Його програма розпочалася у 2012 році — тоді банк став першим у світі серед фінансових установ, який запропонував премію за пошук вразливостей.
За підсумками 2017 року банк виплатив 512 тис грн найактивнішим дослідникам вразливостей. Загалом у процесі брали участь 127 «білих» хакерів. У березні 2018 року банк відкрив спеціальний сайт зі спрощеною процедурою реєстрації та отримання фінансової винагороди.
За 2017 рік переважно багхантери саме цього банку допомагали усувати проблеми на платформі «ПриватМаркет» та запобігати несанкціонованим втручанням у роботу магазинів.
Як у світі колективно шукають вразливості?
Подібні програми у всьому світі проводять не лише оператори мобільного зв’язку чи провайдери інтернету. Серед найбільших організаторів — Google та Facebook. Пошук вразливостей та їх ліквідація для Google вже стали звичною практикою. А розмір найбільшої винагороди за знайдену помилку у корпорації перевищував $110 тис. За весь час проведення таких програм Google виплатив дослідникам близько $12 млн.
Facebook лише за 2017 рік витратив $880 тис на винагороди для «білих» хакерів. У Міністерстві оборони США виплатили багхантерам близько $150 тис за 138 знайдених вразливостей на сайтах Пентагону та інших онлайн проектах оборонного відомства. Slack, GM та інші корпорації загалом виплатили ентузіастам, котрі шукають та усувають помилки, понад $7 млн.
Як долучитися до майбутніх заходів із покращення безпеки від «Київстар»?
11 липня 2018 року «Київстар» знову відкриває програму Bug Bounty та запрошує українських спеціалістів з кібербезпеки на пошуки вразливостей. За знайдені та підтверджені Київстаром вразливості спеціалісти отримуватимуть грошову винагороду.