Багхантинг в России: итоги года, кому заплатили миллионы и за что? Сейчас в России активно развивается рынок Bug Bounty – все больше коммерческих компаний и государственных организаций приглашают «белых» хакеров на охоту за уязвимостями в своих системах. Место ушедшего в 2022 году HackerOne заняли сразу три локальных платформы (Standоff 365, BI.Zone и Bugbounty.ru), предложив достойную альтернативу местному бизнесу и независимым исследователям. Немного истории В настоящий момент направление Bug Bounty стало важным элементом ИБ-стратегии для крупных бизнесов и правительственных организаций практически по всему миру. Хотя идея о том, чтобы платить вознаграждение любому, кто найдет уязвимость в защите компании и сообщит о ней, не сразу завоевала свою популярность. В 1995 году компания Netscape стартовала с первой в мире открытой программой по поиску уязвимостей в обмен на денежные вознаграждения для тестирования своего продукта Navigator 2.0 Beta. Попытки IDefense в 2002 году развить багхантинг также не увенчались особым успехом, пока в 2004 году фонд Mozilla не запустил свою программу вознаграждений за обнаружение критических уязвимостей в Firefox. Еще в начале 2000-ых любые хакеры воспринимались с подозрением, и на развитие отношений между бизнесом и независимыми экспертами по безопасности потребовались годы. В истории мирового багхантинга революционными стали 2010-2012 годы, когда Google и Facebook запустили свои программы вознаграждения за обнаружение ошибок в веб-приложениях, а Mozilla решила расширить скоуп. Вслед за мировыми гигантами они начала платить внешним исследователям за найденные уязвимости, начиная с 2012-2013 годов. После отключения России от HackerOne компании, ранее использовавшие этот ресурс для размещения своих программ, начали искать альтернативы на локальном рынке. Команда взяла в работу ошибки из 850 отчётов, а вознаграждение заплатили за 650 отчётов — это примерно 30% от общего числа. Более 100 отчётов об уязвимостях, которые «белые» хакеры нашли на сайтах сервиса и в мобильных приложениях, из них 27 приняли на исправление. С лета 2022 года команда Mail.ru выплатила исследователям 3 213 000 руб., самая дорогая уязвимость обошлась в 1 200 000 руб. За 2022 год ВКонтакте суммарно выплатил исследователям 15 млн руб., оплатив 171 отчет из 318. За год присутствия VK только на российских платформах компания заплатила багхантерам более 37 млн руб., и готова и дальше развивать свои программы, мотивируя все больше независимых исследователей принимать участие в поиске багов в своих продуктах.SecurityLab.ru