fbpx
Aa Aa Aa
Aa Aa Aa
Pročytaty vgolos
Zupynyty čytannja

Bug Bounty vid «Kyїvstar»: jak zarobyty na pošuku vrazlyvostej

Bug Bounty від «Київстар»: як заробити на пошуку вразливостей
Navesni 2018 roku kompanija «Kyїvstar» na 2 tyžni vidkryvala dostup do programy Bug Bounty. Buď-jakyj specialist iz kiberbezpeky mig znajty vrazlyvosti u digital-servisah kompaniї, povidomyty pro nyh ta otrymaty za ce finansovu vynagorodu. Jak ce pracjuje ta jaki rezuľtaty daje?
Навесні 2018 року компанія «Київстар» на 2 тижні відкривала доступ до програми Bug Bounty. Будь-який спеціаліст із кібербезпеки міг знайти вразливості у digital-сервісах компанії, повідомити про них та отримати за це фінансову винагороду. Як це працює та які результати дає?
Читати кирилицею

Speciaľni možlyvosti

Pročytaty vgolos
Zupynyty čytannja
Kontrastna versija
  11 липня Київстар знову надає таку можливість для українських та закордонних фахівців. Зареєструватися у програмі можна за посиланням bugcrowd.com/kyivstar Як виглядає пошук вразливостей, які компанії впроваджують таку практику та чому це вигідно для кіберспільноти? На часі дізнатися про все докладніше. Що таке Bug Bounty від Київстар?. Це програма пошуку потенційних вразливостей на веб-сайтах та в мобільних додатках оператора. З листопада 2017 року Bug Bounty працює в режимі закритого тестування на платформі Bugcrowd (краудсорсинговій платформі, яка об’єднує кіберспеціалістів). Протягом перших 4 місяців тестування фахівці виявили близько 20 потенційно вразливих місць, які оперативно ліквідували вже співробітники компанії. А 13 березня 2018 року оператор відкрив публічний доступ до платформи Bugcrowd. Тестувались система самообслуговування абонентів Мій Київстар, офіційний сайт, сайт інтернет-магазину та низка інших веб-ресурсів оператора. Які результати дав перший період публічного доступу до програми?. Протягом двох тижнів березня 2018 року 160 спеціалістів із кібербезпеки, 17 з яких – українці, перевірили 10 digital-сервісів Київстар. За цей період оператор отримав вшестеро більше повідомлень про можливі вразливості, аніж за попередні чотири місяці закритого тестування. Загалом було отримано близько 300 сповіщень про вразливості та помилки, 52 з них були підтверджені. Максимальний розмір винагороди за вразливість сягнув $1,5 тис. А загальна сума виплат у Bug Bounty наразі становить $26,450. Навіщо це Київстар?. Сьогодні у всьому світі існує великий ризик кібератак. Тому питання захисту даних є одним із ключових і для великого бізнесу загалом, і телеком-операторів зокрема. У компанії наголошують, що розуміють свою відповідальність за надання якісних послуг своїм клієнтам та постійно покращують захист персональних даних абонентів. Адже послугами компанії користуються понад 26 млн українців, тож тестування навіть найменших підозр є надважливим. У першому публічному періоді програми Bug Bounty Київстар залучав кіберспеціалістів з усього світу. У другому — оператор сподівається на участь більшої кількості українських фахівців. Запровадження подібних програм дозволяє запобігати фінансовим та репутаційним втратам. Які компанії в Україні практикують аналогічні програми?. Серед компаній, які практикують винагороди для уважних користувачів — український ПриватБанк. Його програма розпочалася у 2012 році — тоді банк став першим у світі серед фінансових установ, який запропонував премію за пошук вразливостей. За підсумками 2017 року банк виплатив 512 тис грн найактивнішим дослідникам вразливостей. Загалом у процесі брали участь 127 білих хакерів. У березні 2018 року банк відкрив спеціальний сайт зі спрощеною процедурою реєстрації та отримання фінансової винагороди. За 2017 рік переважно багхантери саме цього банку допомагали усувати проблеми на платформі ПриватМаркет та запобігати несанкціонованим втручанням у роботу магазинів. Як у світі колективно шукають вразливості?. Подібні програми у всьому світі проводять не лише оператори мобільного зв’язку чи провайдери інтернету. Серед найбільших організаторів — Google та Facebook. Пошук вразливостей та їх ліквідація для Google вже стали звичною практикою.  А розмір найбільшої винагороди за знайдену помилку у корпорації перевищував $110 тис. За весь час проведення таких програм Google виплатив дослідникам близько $12 млн. Facebook лише за 2017 рік витратив $880 тис на винагороди для білих хакерів. У Міністерстві оборони США виплатили багхантерам близько $150 тис за 138 знайдених вразливостей на сайтах Пентагону та інших онлайн проектах оборонного відомства. Slack, GM та інші корпорації загалом виплатили ентузіастам, котрі шукають та усувають помилки, понад $7 млн. Як долучитися до майбутніх заходів із покращення безпеки від Київстар?. 11 липня 2018 року Київстар знову відкриває програму Bug Bounty та запрошує українських спеціалістів з кібербезпеки на пошуки вразливостей. За знайдені та підтверджені Київстаром вразливості спеціалісти отримуватимуть грошову винагороду.  

11 lypnja «Kyїvstar» znovu nadaje taku možlyvisť dlja ukraїnśkyh ta zakordonnyh fahivciv. Zarejestruvatysja u programi možna za posylannjam bugcrowd.com/kyivstar

Jak vygljadaje pošuk vrazlyvostej, jaki kompaniї vprovadžujuť taku praktyku ta čomu ce vygidno dlja kiberspiľnoty? Na časi diznatysja pro vse dokladniše.

Ščo take Bug Bounty vid «Kyїvstar»?

Ce programa pošuku potencijnyh vrazlyvostej na veb-sajtah ta v mobiľnyh dodatkah operatora. Z lystopada 2017 roku Bug Bounty pracjuje v režymi zakrytogo testuvannja na platformi Bugcrowd (kraudsorsyngovij platformi, jaka ob’jednuje kiberspecialistiv). Protjagom peršyh 4 misjaciv testuvannja fahivci vyjavyly blyźko 20 potencijno vrazlyvyh misć, jaki operatyvno likviduvaly vže spivrobitnyky kompaniї.

A 13 bereznja 2018 roku operator vidkryv publičnyj dostup do platformy Bugcrowd. Testuvalyś systema samoobslugovuvannja abonentiv «Mij Kyїvstar», oficijnyj sajt, sajt internet-magazynu ta nyzka inšyh veb-resursiv operatora.

Jaki rezuľtaty dav peršyj period publičnogo dostupu do programy?

Protjagom dvoh tyžniv bereznja 2018 roku 160 specialistiv iz kiberbezpeky, 17 z jakyh – ukraїnci, pereviryly 10 digital-servisiv «Kyїvstar». Za cej period operator otrymav všestero biľše povidomleń pro možlyvi vrazlyvosti, aniž za poperedni čotyry misjaci zakrytogo testuvannja. Zagalom bulo otrymano blyźko 300 spoviščeń pro vrazlyvosti ta pomylky, 52 z nyh buly pidtverdženi.

Maksymaľnyj rozmir vynagorody za vrazlyvisť sjagnuv $1,5 tys. A zagaľna suma vyplat u Bug Bounty narazi stanovyť $26,450.

Bug Bounty — ščo ce ta jak na ćomu zarobyty v Ukraїni

Naviščo ce «Kyїvstar»?

Sogodni u vśomu sviti isnuje velykyj ryzyk kiberatak. Tomu pytannja zahystu danyh je odnym iz ključovyh i dlja velykogo biznesu zagalom, i telekom-operatoriv zokrema. U kompaniї nagološujuť, ščo rozumijuť svoju vidpovidaľnisť za nadannja jakisnyh poslug svoїm klijentam ta postijno pokraščujuť zahyst personaľnyh danyh abonentiv. Adže poslugamy kompaniї korystujuťsja ponad 26 mln ukraїnciv, tož testuvannja naviť najmenšyh pidozr je nadvažlyvym.

U peršomu publičnomu periodi programy Bug Bounty «Kyїvstar» zalučav kiberspecialistiv z uśogo svitu. U drugomu — operator spodivajeťsja na učasť biľšoї kiľkosti ukraїnśkyh fahivciv. Zaprovadžennja podibnyh program dozvoljaje zapobigaty finansovym ta reputacijnym vtratam.

Jaki kompaniї v Ukraїni praktykujuť analogični programy?

Bug Bounty vid «Kyїvstar»: jak zarobyty na pošuku vrazlyvostej 1

Sered kompanij, jaki praktykujuť vynagorody dlja uvažnyh korystuvačiv — ukraїnśkyj «PryvatBank». Jogo programa rozpočalasja u 2012 roci — todi bank stav peršym u sviti sered finansovyh ustanov, jakyj zaproponuvav premiju za pošuk vrazlyvostej.

Za pidsumkamy 2017 roku bank vyplatyv 512 tys grn najaktyvnišym doslidnykam vrazlyvostej. Zagalom u procesi braly učasť 127 «bilyh» hakeriv. U berezni 2018 roku bank vidkryv speciaľnyj sajt zi sproščenoju proceduroju rejestraciї ta otrymannja finansovoї vynagorody.

Za 2017 rik perevažno baghantery same ćogo banku dopomagaly usuvaty problemy na platformi «PryvatMarket» ta zapobigaty nesankcionovanym vtručannjam u robotu magazyniv.

Jak u sviti kolektyvno šukajuť vrazlyvosti?

Podibni programy u vśomu sviti provodjať ne lyše operatory mobiľnogo zv’jazku čy provajdery internetu. Sered najbiľšyh organizatoriv — Google ta Facebook. Pošuk vrazlyvostej ta їh likvidacija dlja Google vže staly zvyčnoju praktykoju.  A rozmir najbiľšoї vynagorody za znajdenu pomylku u korporaciї perevyščuvav $110 tys. Za veś čas provedennja takyh program Google vyplatyv doslidnykam blyźko $12 mln.

Facebook lyše za 2017 rik vytratyv $880 tys na vynagorody dlja «bilyh» hakeriv. U Ministerstvi oborony SŠA vyplatyly baghanteram blyźko $150 tys za 138 znajdenyh vrazlyvostej na sajtah Pentagonu ta inšyh onlajn proektah oboronnogo vidomstva. Slack, GM ta inši korporaciї zagalom vyplatyly entuziastam, kotri šukajuť ta usuvajuť pomylky, ponad $7 mln.

Jak dolučytysja do majbutnih zahodiv iz pokraščennja bezpeky vid «Kyїvstar»?

11 lypnja 2018 roku «Kyїvstar» znovu vidkryvaje programu Bug Bounty ta zaprošuje ukraїnśkyh specialistiv z kiberbezpeky na pošuky vrazlyvostej. Za znajdeni ta pidtverdženi Kyїvstarom vrazlyvosti specialisty otrymuvatymuť grošovu vynagorodu.

Zarejestruvatysja

 

Cej material vygotovleno ta rozmiščeno na komercijnij osnovi.

Jakščo vy znajšly pomylku, buď laska, vydiliť fragment tekstu ta natysniť Ctrl Enter.

Dodaty komentar

Takyj e-mail vže zarejestrovano. Skorystujtesja Formoju vhodu abo vvediť inšyj.

Vy vkazaly nekorektni login abo paroľ

Vybačte, dlja komentuvannja neobhidno uvijty.
Šče
Vy čytajete sajt ukraїnśkoju latynkoju. Podrobyci v Manifesti
Hello. Add your message here.

Povidomyty pro pomylku

Tekst, jakyj bude nadislano našym redaktoram: