Mail.Ru Group объявляет о старте программы поиска уязвимостей

Mail.Ru Group объявляет о старте программы поиска уязвимостей

Мы уверены, что обратная связь — один из главных способов делать сервисы не только удобнее, но и безопаснее. Если хочешь, чтобы защита была по-настоящему эффективной, — дай проверить ее на прочность исследователям.



Mail.Ru Group объявляет о старте программы поиска уязвимостей: теперь мы будем выплачивать награды за обнаружение проблем в безопасности наших проектов. Программа будет реализовываться вместе с одним из самых авторитетных в мире хакерских коммьюнити HackerOne.

Небольшое отступление. HackerOne – это некоммерческая организация, занимающаяся вопросами кибер-безопасности. Время от времени она кооперируется с мировыми интернет-гигантами, в числе которых Microsoft и Facebook, и проводит программы поиска багов. Или, как сказано на веб-страничке HackerOne: Simply put: hack all the things, send us the good stuff, and we'll do our best to reward you (Короче говоря: взламывай все, шли нам результаты, а с нас – вознаграждение). Кстати именно через платформу Hackerone было выплачена награда хакерам, обнаружившим печально известную уязвимость Heartbleed, которая буквально на днях привела к крупнейшей в истории человечества утечке данных, сообщает habrahabr.ru.

Первым шагом реализации совместной программы Mail.Ru Group и HackerOne станет конкурс на выявление уязвимостей. Сообщения о них можно отправлять в течение месяца: с 21 апреля по 20 мая 2014 года. Затем аналитики информационной безопасности Mail.Ru Group обработают все заявки и 21 мая 2014 года назовут имена (или псевдонимы) победителей.

Трое лучших исследователей, которые найдут наиболее критичные уязвимости, получат бонусное денежное вознаграждение:
  • 1 место — 5 тыс. долларов
  • 2 место — 3 тыс. долларов
  • 3 место — 1,5 тыс. долларов

Вознаграждение также получат остальные участники конкурса. Минимальная награда за найденную уязвимость составит $150. Потолка нет — размер награды будет зависеть только от критичности обнаруженной проблемы.

За какие уязвимости можно получить награду?

Сейчас награда выплачивается за обнаружение уязвимостей на следующих веб-сервисах Mail.Ru Group:

Почта Mail.Ru
e.mail.ru
*.e.mail.ru
touch.mail.ru
*.touch.mail.ru
m.mail.ru
*.m.mail.ru

Облако Mail.Ru
cloud.mail.ru
*.cloud.mail.ru

Календарь Mail.Ru
calendar.mail.ru
*.calendar.mail.ru

Mail.Ru для бизнеса
biz.mail.ru
*.biz.mail.ru

Авторизационный центр Mail.Ru
auth.mail.ru
*.auth.mail.ru
swa.mail.ru
*.swa.mail.ru

А также в мобильных приложениях Mail.Ru Group для iOS и Android, которые так или иначе работают с личной информацией пользователей:
Почта Mail.Ru для iOS
Почта Mail.Ru для Android
Календарь Mail.Ru для Android
Облако Mail.Ru для iOS
Облако Mail.Ru для Android

Со временем к этому списку могут добавиться и другие проекты Mail.Ru Group.

Что остается за рамками нашей программы?

Если вы нашли уязвимость на одном из проектов, который не входит в список, ваша заявка тоже будет рассмотрена. В этом случае награда присуждается в индивидуальном порядке и сильно зависит от серьезности обнаруженной проблемы.

Вознаграждение не выплачивается за информацию, полученную с помощью:

  • физического взлома дата-центов или офисов Mail.Ru Group
  • взлома инфраструктуры компании
  • социальной инженерии

Проводя исследования, пожалуйста, используйте собственные аккаунты. Не пытайтесь получить доступ к чужим аккаунтам или какой-либо конфиденциальной информации.

Если вы хотите сообщить не об уязвимости, а о проблемах с доступом к аккаунту, обратитесь в нашу службу поддержки.

Уязвимость нашлась — что дальше?

А дальше необходимо багрепорт через сайт наших партнеров – сообщества HackerOne.com, где вам нужно будет создать свой аккаунт. Именно там вы сможете общаться с аналитиками информационной безопасности Mail.Ru Group, проверять статус своей заявки, получить информацию о своей награде (если она, конечно, будет присуждена именно вам), при необходимости ответить на уточняющие вопросы и так далее. 

В багрепорте нужно дать подробное описание найденной уязвимости. Еще необходимо кратко, но понятно указать, какие шаги приводят к тому, чтобы с ней столкнуться, или дать рабочее подтверждение своей концепции. Ведь если уязвимость не будет описана во всех необходимых подробностях, процесс раскрытия сильно затянется.

Также очень желательно, чтобы исследователь мог объяснить, каким именно образом он нашел ту или иную уязвимость.

В первую очередь интересны:

  • Cross-Site Scripting
  • SQL Injection
  • Remote Code Execution
  • Cross-Site Request Forgery
  • Directory Traversal
  • Information Disclosure
  • Content Spoofing
  • Clickjacking

Если вы предпочитаете сохранять свое имя в тайне, можете пользоваться псевдонимом при подаче баг-репортов.

Как рассматриваются багрепорты?

Сообщения об уязвимостях, которые нужно подавать через платформу HackerOne.com, рассматривают аналитики информационной безопасности Mail.Ru Group. В ходе оценки мы всегда представляем себе худший сценарий эксплуатации уязвимости и выплачиваем награду, исходя из размера ущерба. Чем больше ущерб, тем больше награда.

Сообщения рассматриваются в течение 15 дней (это максимальный срок — скорее всего, вы получите ответ быстрее).

Награды исследователям и обратная связь

Вся обратная связь по заявкам, а также выплаты будут осуществляться через систему проекта HackerOne.

Награда присуждается, если вы первый, кто сообщил о данной уязвимости. В противном случае вам будет предоставлен доступ к тикету с ее описанием, чтобы вы могли отслеживать статус ее исправления. 

С момента сообщения об уязвимости должно пройти не менее 3 месяцев, прежде чем вы сможете опубликовать её детали. Мы просим вас об этом, потому что нам нужно иметь достаточное количество времени, чтобы ответить вам и исправить уязвимость.

Сообщение о том, что указанная вами уязвимость подтвердилась, а также информация о присуждении награды будет появляться в вашем багрепорте. Там же могут быть заданы уточняющие вопросы, так что не забывайте проведывать свой тикет!

Итак, получить более подробную информацию о программе поиска уязвимостей Mail.Ru Group и подать заявку можно по ссылке: https://hackerone.com/mailru.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Более 50% российских компаний не знают, что есть в их ИТ-инфраструктуре

Специалисты выяснили, как компании из разных секторов — от ИТ и ретейла до промышленности и энергетики — управляют своими цифровыми активами. Оказалось, что многие пока не справляются с задачей на все сто: 54% респондентов признались, что не знают обо всех устройствах и системах, которые используются в их организациях.

А ведь «невидимые» активы — это потенциальные дыры в безопасности, которыми могут воспользоваться злоумышленники.

В опросе участвовало больше 130 компаний. Их спрашивали, какие подходы и инструменты они используют для управления активами, какие сложности встречаются, и чего ждут от систем класса asset management. Например, треть организаций не уверена, что у них есть точная информация об оборудовании и софте, на которых вообще всё держится.

Почти 80% регулярно добавляют или выводят из эксплуатации активы — минимум раз в квартал. Это создает риски: при смене оборудования легко не заметить уязвимости. На практике такие пробелы действительно находят — например, опасные конфигурации, через которые можно получить полный доступ к домену Active Directory.

Интересно, что только 15% компаний считают важным обеспечить защиту всех ключевых цифровых активов. Зато 63% понимают: просто управлять оборудованием недостаточно — нужно ещё и защищать его. Поэтому ИТ-специалисты всё чаще работают в связке с безопасниками.

Тем не менее пока что более-менее системно цифровыми активами управляют только две трети опрошенных. Большинство фокусируется на самых очевидных и крупных компонентах, теряя из виду остальное. И только 20% компаний контролируют хотя бы 80% своей инфраструктуры.

Остальные рискуют: даже пара забытых устройств с устаревшим софтом или неправильными настройками могут стать точкой входа для атаки. Часто дело не только в устройствах, но и в слабых паролях, неудачных настройках сервисов или дырах в веб-приложениях.

Как итог — без нормального управления активами сложно понять, где именно уязвимости, и что в первую очередь нужно закрывать. Инвентаризация и сбор конфигураций должны быть не просто формальностью, а рабочим инструментом для обеспечения безопасности. Без этого устойчивую защиту выстроить сложно.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru