Positive Technologies заплатит белым хакерам 60 млн рублей

Компания Positive Technologies добавила в программу поиска уязвимостей (багбаунти) Positive Dream Hunting второе недопустимое для компании событие. Первый, кто сможет внедрить вредоносный код в продукты, получит вознаграждение в 60 млн рублей. Также компания подняла до 60 млн рублей выплату за реализацию первого недопустимого события — кражи денег со счетов компании.

Перед запуском багбаунти-программы на второе недопустимое событие Positive Technologies проверила возможность его реализации на киберполигоне Standoff 12, где воссоздала часть реальной инфраструктуры. Участники пробовали внедрить закладку в исходный код одного из продуктов, но им это не удалось. Теперь компания запускает открытую программу на багбаунти-платформе с вознаграждением в 60 млн рублей. Его получит тот багхантер, который сможет в соответствии с правилами программы разместить условно вредоносную рабочую сборку с потенциально зловредным кодом на внутреннем сервере обновлений gus.ptsecurity.com или на публичных серверах update.ptsecurity.com. Он также должен предоставить доказательства того, что ее можно сделать доступной для скачивания — скриншот с необходимыми правами. 

По условиям программы исследователям запрещено использовать модифицированную сборку. Кроме того, внутренние механизмы безопасности со стороны Positive Technologies исключают любую возможность распространения вредоносного обновления в продукты, поставляемые клиентам компании.

«Белым» хакерам, которым удастся выполнить один или несколько шагов до потенциальной реализации недопустимого события, будет присуждаться поощрительное вознаграждение. В частности, за преодоление сетевого периметра и закрепления на узле можно будет получить 300–500 тыс. рублей, а за внедрение кода в публичный релиз продукта на этапе хранения или тестирования — 3–5 млн рублей. 

«Запуск программы багбаунти, ориентированной на недопустимые события, — это серьезный шаг для компании. Однако это единственный способ для ее CISO и топ-менеджмента на деле убедиться в эффективности выстроенной системы защиты», — отметил директор экспертного центра безопасности Positive Technologies Алексей Новиков. 

Ранее редакция IT Speaker узнала у экспертов, как работают «этичные хакеры» вне правового поля. По словам гендиректора компании Pro Control Станислава Сидорова, несмотря на положительный эффект программ багбаунти, в России «белые хакеры» могут столкнуться с определенными рисками. На текущий момент в отечественном законодательстве нет нормативно-правового акта, который  регулирует  их деятельность и четко устанавливает различия между «белыми» и «черными» хакерами. Поэтому любые действия, связанные с несанкционированным проникновением в информационные системы, могут привести к уголовной ответственности.