Mail.Ru объявляет о конкурсе по поиску уязвимостей

Mail.Ru Group сообщает на «Хабре» о начале конкурса по поиску уязвимостей в критичных интрнет-сервисах компании.

Трое лучших исследователей, которые найдут наиболее критичные уязвимости, получат бонусное денежное вознаграждение:

1 место — 5 тыс. долларов
2 место — 3 тыс. долларов
3 место — 1,5 тыс. долларов

Удивительно, что вознаграждение за уязвимости запущенно в виде короткого конкурса (длинною в месяц), а не постоянной программы. Как сообщила пресс-служба Mail.ru, конкурс является первым этапом долгосрочной программы. О дальнейших шагах компания планирует рассказать после объявления результатов (— Roem).

У «Яндекса» бессрочная программа действует с сентября 2012 года. Аналогичные программы с более щедрыми вознаграждениями есть и у западных компаний.

Компаниям, очевидно, хочется, чтобы у хакеров были стимулы сообщать об уязвимостях в компанию в надежде на вознаграждение, а не продавать эту информацию на черном рынке или выкладывать в открытый доступ.

В мире также периодически проводятся конкурсы по взлому популярного ПО. Например, на соревновании Pwn2Own 2014 продемонстрированы взломы Chrome, Chrome OS, Firefox, IE, Safari и Flash, а за два дня соревнований в сумме было выплачено 850 тысяч долларов вознаграждений за демонстрацию 14 успешных атак.

Добавить 7 комментариев

  • Ответить
    Альтер Эго

    > У «Яндекса» бессрочная программа действует с сентября 2012 года. Некто, уставший от бюрократизма, уже [url=http://searchengines.guru/showthread.php?p=12791493#post12791493]плюнул на эти 5−10 т.р. и зал славы[/url]. Наверное он писал в Яндекс первый раз… вменяемые люди во второй или третий раз — уже не пишут.

  • Ответить
    Юрий Синодов Основатель Roem.ru, sinodov.com

    Там прикольно то, что Hackone — это такой международный конкурс. То есть, там игра немного с более дальним прицелом, чем просто попиариться немного с заданным бюджетом. Может офис разработки на Западе планируют открывать.

  • Ответить

    Забавные цены, стоимость активных пассивных уязвимостей начинается с более широких сумм и то это продается окупившееся, отработанное в паблик массовым продавцам. Судя по прайсам 2013 года, там всякие взломы одноклассников, вк, гмаил, начинавшиеся от 5000 руб, говорит о том что призовой фонд у среднего хакера, это ежемесячный профит. Сколько раз я раньше удивлялся, когда мне присылали ссылки на такие форумы и как там темы в платных разделах закреплены годами, такое ощущение что никто не может зарегистрироваться чтобы посмотреть какие услуги по их компаниям предоставляются хакерами. Вот имей бы я серьезную уязвимость к гугл, но не имей выхода на китайскую разведку, уж точно бы я не продал ее гугл, наверно потому что я хакер и взломал гугл. И вообще зачем мне конкурс, я и так уже победил, тем более я не дурак чтобы хвастаться этим, раз хватило ума на это. Но маил ру это не гугл и китайской разведке он не нужен. Как бы маил ру не хотелось чтобы его воспринимали где-то там, ибо у нас всем точно пофиг какие уязвимости в играх маилру.

  • Ответить
    Dmitry Sidorov Mail.Ru Group

    breaksw, это self XSS, т.е. этой уязвимостью вы можете навредить только себе, и работает она только у вас. Если у вас другое мнение, и вам есть как обосновать своё «всё дырявое», то мы ждём вас с репортами на HackerOne: https://hackerone.com/mailru