По словам пользователя соцсети Егора Хомякова, который известен в определенных кругах как хакер, зарабатывающий на поисках уязвимостей, его история началась в сентябре 2014 года. Во время написания сервиса, основанного на API социальной сети, исследователь обнаружил уязвимость, которая позволяла узнавать как администратора сообщества, сделавшего пост, так и человека предложившего эту запись. Уязвимость заключалась в методе API newsfeed.get. При выполнении самого обычного запроса к нему, в объекте, среди прочих, возвращался массив из 4-5 пользователей (profiles). Они, судя по документации, должны были являться пользователями из ленты новостей, однако в ленте их не было. Егора заинтересовал этот факт, и он начал тестировать его на ленте новостей с записями от собственной группы. Потратив вечер на тесты, он нашел закономерности, заключавшиеся в нарушении приватности сервиса. Сегодня код эксплуатации уязвимости можно найти на Github.
О найденной уязвимости исследователь решил сообщить напрямую разработчикам, минуя открытый баг-трекер «ВКонтакте». Первый из разработчиков просто не ответил на сообщение, второй ответил спустя 4 дня, поблагодарил и обещал подумать, как это исправить. Егор пишет, что знал об отсутствии официальной bug bounty программы у «ВКонтакте», но также знал, что нередки были случаи поощрения за уязвимости внутренней валютой (голосами), однако решил отложить эти вопросы на момент исправления уязвимости. После этого он стал изредка проверять работоспособность уязвимости. Это продолжалось до апреля 2015, когда прочитав очередную статью об уязвимости и вознаграждении, Егор снова проверил свою уязвимость, и она не была исправлена. Он снова связался по поводу уязвимости с техподдержкой, всего две недели ожидания – и ему написали, что код передан разработчикам, с пользователем свяжутся, как только появятся новости.
В мае 2015 года уязвимость была исправлена. С нашедшим ее пользователем никто не связался, а он, в свою очередь, заинтересовался критериями, по которым социальная сеть выплачивает вознаграждения. Лишь в конце мая, спустя несколько часов после запуска программы вознаграждения за уязвимости, Егору сообщили, что, раз «уязвимость уже исправлена, то она не подпадает под новую программу и им мне нечего предложить». В конце поста сознательный пользователь «ВКонтакте» и профессиональный хакер подводит печальные итоги общения с соцсетью: потребовалось 8 месяцев и 3 обращения для исправления очередной уязвимости в приватности «ВКонтакте»; вопросы о вознаграждении игнорировались вплоть до запуска bug bounty программы, после чего под ее предлогом исследователю было отказано в какой-либо выплате, а техподдержка предпочитает длительное игнорирование каким-либо действиям.
Как отмечает Егор Хомяков, похоже, после запуска программы поощрения ситуация изменилась не сильно. А компания Google, которая не была замечена в жадности и невнимательности к исследователям уязвимостей, заявила о том, что расширяет свою программу выплаты вознаграждений. Теперь специалисты по информационной безопасности смогут получать поощрения не только за выявленные уязвимости в браузере Chrome и других продуктах Google, но и за найденные бреши в ОС Android для устройств Nexus.
Программа Android Security Rewards была представлена в Лондоне в рамках мероприятия Black Hat Mobile Summit. Эксперт по информационной безопасности Android Джон Лаример (John Larimer) сообщил о том, что претендовать на вознаграждение могут только обнаруженные бреши в устройствах Nexus 6 и Nexus 9. Специалист утверждает, что вся экосистема Android выиграет от новой программы выплаты вознаграждений. Финансовое вознаграждение за выявление критической уязвимости в ОС Android может достигать $40 000, если эксперт подробно опишет ошибку, компрометирующую систему Android, сможет воспроизвести ее без прямого доступа к устройству и создаст обновление, закрывающее проблему.
Высоко оцениваются уязвимости в коде Android Open Source Project (AOSP), в ядре Android, в TrustZone, в OEM библиотеках и драйверах, а также эксплоиты, которые обходят защиту памяти, включая ASLR, песочницу Android и сервер NX. Google также будет рассматривать уязвимости, не связанные с кодом Android, например, в прошивке, которые влияют на безопасность ОС. Начальная стоимость обнаруженной критической уязвимости составляет $2 000, бреши высокой степени опасности оцениваются в $1 000, а ошибки умеренной степени опасности – в $500, сообщается на сайте Google. В общей сложности компания готова потратить до $1,5 млн на программу поощрения исследователей, а максимальная сумма индивидуальных выплат может составить до $150 000.
.jpg)