Oleksandr Meľnyk
11 lypnja «Kyїvstar» znovu nadaje taku možlyvisť dlja ukraїnśkyh ta zakordonnyh fahivciv. Zarejestruvatysja u programi možna za posylannjam bugcrowd.com/kyivstar
Jak vygljadaje pošuk vrazlyvostej, jaki kompaniї vprovadžujuť taku praktyku ta čomu ce vygidno dlja kiberspiľnoty? Na časi diznatysja pro vse dokladniše.
Ščo take Bug Bounty vid «Kyїvstar»?
Ce programa pošuku potencijnyh vrazlyvostej na veb-sajtah ta v mobiľnyh dodatkah operatora. Z lystopada 2017 roku Bug Bounty pracjuje v režymi zakrytogo testuvannja na platformi Bugcrowd (kraudsorsyngovij platformi, jaka ob’jednuje kiberspecialistiv). Protjagom peršyh 4 misjaciv testuvannja fahivci vyjavyly blyźko 20 potencijno vrazlyvyh misć, jaki operatyvno likviduvaly vže spivrobitnyky kompaniї.
A 13 bereznja 2018 roku operator vidkryv publičnyj dostup do platformy Bugcrowd. Testuvalyś systema samoobslugovuvannja abonentiv «Mij Kyїvstar», oficijnyj sajt, sajt internet-magazynu ta nyzka inšyh veb-resursiv operatora.
Jaki rezuľtaty dav peršyj period publičnogo dostupu do programy?
Protjagom dvoh tyžniv bereznja 2018 roku 160 specialistiv iz kiberbezpeky, 17 z jakyh – ukraїnci, pereviryly 10 digital-servisiv «Kyїvstar». Za cej period operator otrymav všestero biľše povidomleń pro možlyvi vrazlyvosti, aniž za poperedni čotyry misjaci zakrytogo testuvannja. Zagalom bulo otrymano blyźko 300 spoviščeń pro vrazlyvosti ta pomylky, 52 z nyh buly pidtverdženi.
Maksymaľnyj rozmir vynagorody za vrazlyvisť sjagnuv $1,5 tys. A zagaľna suma vyplat u Bug Bounty narazi stanovyť $26,450.
Naviščo ce «Kyїvstar»?
Sogodni u vśomu sviti isnuje velykyj ryzyk kiberatak. Tomu pytannja zahystu danyh je odnym iz ključovyh i dlja velykogo biznesu zagalom, i telekom-operatoriv zokrema. U kompaniї nagološujuť, ščo rozumijuť svoju vidpovidaľnisť za nadannja jakisnyh poslug svoїm klijentam ta postijno pokraščujuť zahyst personaľnyh danyh abonentiv. Adže poslugamy kompaniї korystujuťsja ponad 26 mln ukraїnciv, tož testuvannja naviť najmenšyh pidozr je nadvažlyvym.
U peršomu publičnomu periodi programy Bug Bounty «Kyїvstar» zalučav kiberspecialistiv z uśogo svitu. U drugomu — operator spodivajeťsja na učasť biľšoї kiľkosti ukraїnśkyh fahivciv. Zaprovadžennja podibnyh program dozvoljaje zapobigaty finansovym ta reputacijnym vtratam.
Jaki kompaniї v Ukraїni praktykujuť analogični programy?
Sered kompanij, jaki praktykujuť vynagorody dlja uvažnyh korystuvačiv — ukraїnśkyj «PryvatBank». Jogo programa rozpočalasja u 2012 roci — todi bank stav peršym u sviti sered finansovyh ustanov, jakyj zaproponuvav premiju za pošuk vrazlyvostej.
Za pidsumkamy 2017 roku bank vyplatyv 512 tys grn najaktyvnišym doslidnykam vrazlyvostej. Zagalom u procesi braly učasť 127 «bilyh» hakeriv. U berezni 2018 roku bank vidkryv speciaľnyj sajt zi sproščenoju proceduroju rejestraciї ta otrymannja finansovoї vynagorody.
Za 2017 rik perevažno baghantery same ćogo banku dopomagaly usuvaty problemy na platformi «PryvatMarket» ta zapobigaty nesankcionovanym vtručannjam u robotu magazyniv.
Jak u sviti kolektyvno šukajuť vrazlyvosti?
Podibni programy u vśomu sviti provodjať ne lyše operatory mobiľnogo zv’jazku čy provajdery internetu. Sered najbiľšyh organizatoriv — Google ta Facebook. Pošuk vrazlyvostej ta їh likvidacija dlja Google vže staly zvyčnoju praktykoju. A rozmir najbiľšoї vynagorody za znajdenu pomylku u korporaciї perevyščuvav $110 tys. Za veś čas provedennja takyh program Google vyplatyv doslidnykam blyźko $12 mln.
Facebook lyše za 2017 rik vytratyv $880 tys na vynagorody dlja «bilyh» hakeriv. U Ministerstvi oborony SŠA vyplatyly baghanteram blyźko $150 tys za 138 znajdenyh vrazlyvostej na sajtah Pentagonu ta inšyh onlajn proektah oboronnogo vidomstva. Slack, GM ta inši korporaciї zagalom vyplatyly entuziastam, kotri šukajuť ta usuvajuť pomylky, ponad $7 mln.
Jak dolučytysja do majbutnih zahodiv iz pokraščennja bezpeky vid «Kyїvstar»?
11 lypnja 2018 roku «Kyїvstar» znovu vidkryvaje programu Bug Bounty ta zaprošuje ukraїnśkyh specialistiv z kiberbezpeky na pošuky vrazlyvostej. Za znajdeni ta pidtverdženi Kyїvstarom vrazlyvosti specialisty otrymuvatymuť grošovu vynagorodu.
