На волне постов про уход компаний из РФ на волне санкций практически незаметно для большинства пользователей Рунета прошла новость о закрытии для граждан РФ, Беларуси и Украины площадки HackerOne. Вместе с блокировкой счетов.
Это такая биржа, на которой компании размещали свои программы, а багхантеры искали баги и все были довольны. Обычно такие профессиональные синергии остаются аполитичны, но не в этот раз, руководство h1 сделало ход конём:
Причём под этим «соусом» заблокировала выплату не только русским и белорусским, но и украинским багхантерам:
Под санкции попал и известный украинский багхантер Артем Московский, о котором есть статья на Хабре:
Дело даже не в невозможности вывести средства через российские платежные системы или альтернативные методы — денежные средства блокированы и будут направлены на благотворительность. Но, Mårten Mickos (CEO h1) начинает переобуваться в воздухе по поводу направления этой благотворительности. Максимально заблокированная сумма составляет порядка $100.000.
Также, во множественных комментариях h1 в твиттере указывают, что такая армия специалистов теперь просто будет продавать баги в даркнете — кому от этого станет лучше? Очень плохо, когда профессиональное коммюнити пытаются разделить по политическим взглядам. Есть прекрасный пример коллаборативного общения багхантеров со всего СНГ — t.me/WebPwnChat — где обсуждают технические детали, а не цвета флагов, волос, пол или религиозные убеждения.
Бизнес
С коммюнити разобрались, недовольные ноют, оптимисты ищут выход, а рисковые уходят в даркнет. Теперь к компаниям.
На данный момент заморожены компании VK Group, Yandex, Ozon, СберМаркет и многие другие, вместе с оплатой за хостинг на площадке и депозитом на выплаты багхантерам. Плюс ко всему существует немалая вероятность передачи багов российских вендоров и техногигантов "туда", учитывая плотное сотрудничество h1 с Dept Of Defence и АНБ.
Что делать?
Не лишним будет напомнить, если вы хотите иметь прямую связь с багхантером - разместите в корень сайта файл /security.txt с информацией о связи с командой, как это сделано на mos.ru или gosuslugi.ru.
В РФ существует площадка bugbounty.ru, готовая принять российские компании и багхантеров с hackerone/bugcrowd на лояльных условиях и взаимовыгодном сотрудничестве. Социально-значимые проекты размещаются бесплатно.
Комментарии (71)
oxdef
15.03.2022 21:01+44В мире багбаунти-программ важную роль играет доверие между всеми участниками процесса. То, что сделал H1, являясь по сути мировым локомотивом этого движения, никак этому принципу не соответствует.
Не лишним будет напомнить, если вы хотите иметь прямую связь с багхантером - разместите в корень сайта файл /security.txt с информацией о связи с командой, как это сделано на mos.ru или gosuslugi.ru.
Вот тут про формат security.txt чуть подробнее https://habr.com/ru/post/456910
ovalsky
15.03.2022 23:13+8В мире багбаунти-программ важную роль играет доверие между всеми участниками процесса.
Я уже даже не знаю осталось хоть что-то к чему не подорвано доверие. Похоже, действительно пора "готовиться к земле", как сказал один классик)))
sbars
16.03.2022 00:03+42Любые наказания не за конкретные нарушения поведения пользователя на любой площадке подрывают доверие к этой площадке.
В нормальной ситуации законность наказаний должна иметь приоритет над политической "справедливостью".
Даже в реальной жизни настоящая справедливость иногда проигрывает настоящей законности - например, в случаях, когда не удаётся доказать вину реального преступника.
И это правильно, потому что законность только такой и может быть - обоснованной.
ifap
15.03.2022 21:43+71Кинули багхантеров на тонны баксов... смелые ребята... и очень самоуверенные...
artebel
16.03.2022 18:12+1Это не кинули, а украли.
Интересно, когда вся эта шумиха закончится, возможно ли будет подать на такие компании в суд? Я не думаю, что у них в договоре прописана кража денег
disakov
16.03.2022 02:25+8Кстати на прямые вопросы в твиттере их СЕО не отвечает. Одно дело не работать с санкционными банками, другое дело с резидентами РФ. Позицию надо бы озвучить. Насколько я знаю, не резиденты граждане РФ/РБ проблем не испытывают. Кроме H1 также забанили SynAck (точно) и Bugcrowd (вроде). Есть площадки, которые продолжают работать. Но именно H1 зашкварилось благотворительностью за чужой счет.
dobr07
16.03.2022 07:20+15Мир больше не будет прежним ))) Надеюсь компании которые идут на поводу у своих политизированных СЕО обанкротятся. А те кто ставят во главу угла качество увеличат прибыль. Да, это уже сейчас происходит. Телеграм не вводит политической цензуры он бьет рекорды чего нельзя сказать о ФБ например.
Zangasta
16.03.2022 10:41+2Давайте посмотрим в прошлое. В 1937 год.
Поставьте себя на место СЕО крупной компании, например IBM или Coca-cola и попробуйте оценить репутационные риски для компании от сотрудничества с нацисткой Германией.
С учётом послезнания --- идея
сотрудничества с нацибыть вне политики --- выглядит как чудовищная ошибка. Задача грамотного СЕО --- избегать подобного, не так ли?
Faxfox
16.03.2022 10:53+2Адидас и Пума сотрудничали, причем выполняли заказы правительства
DGG
16.03.2022 10:59+13Адидас - внутрення немецкая фирма на то время.
А вот Пума как фирма не сотрудничала - её до 1948 года вообще не было.
Earthsea
16.03.2022 13:03+12И Хуго Босс, и Порше, и Сименс, и Сваровски, и Цейсс, и Лейка, и БМВ, и Мерседес, и Бош, и Ауди (Auto Union), и многие другие, короче все немецкие фирмы, которые на тот момент были.
Tiriet
16.03.2022 14:02+15Не спрашивайте мужчину о зарплате, женщину- о возрасте, а немецкую фирму- о том, что она делала в период с 1933 по 1945 годы.
В Вашем списке, кстати, не хватает Форда, ДжПиМоргана, Тиссен, Кока-Колы, Дженерал Моторс, Стандарт Ойл, Пратт и Уитни, Дуглас, Бендикс Авиэйшн и многих других крупных фирм, которые на тот момент были. хотя это и не немецкие фирмы :-). Но капитал, да хотя бы при при 10% прибыли- согласен на всякое применение.
Zangasta
16.03.2022 14:29-1Но капитал, да хотя бы при при 10% прибыли- согласен на всякое применение.
Очень недальновидный капитал. Капитал поумнее, как мы видим, шарахается как черт от ладана.
Давайте не будем забывать, что стратегия "жить здесь и сейчас" --- не стандарт по умолчанию. Многие СЕО планируют развитие компании на годы вперед.
Kanut
16.03.2022 14:49+5Очень недальновидный капитал.
И в чём конкретно это выражается? Эти фирмы разорились киз-за своих решений? Или может всё-таки заоборот заработали?
Zangasta
16.03.2022 15:33-1Сначала немного заработали. А потом понесли имиджевые убытки, которые многократно превысили кратковременную прибыль от сотрудничества.
Kanut
16.03.2022 15:39+6А вот на эти цифры я бы хотел посмотреть. Сколько конкретно заработали и как конкретно выглядели убытки.
Zangasta
16.03.2022 18:26Как выглядели убытки: Потребность Германии в технологиях учета и классификации была настолько велика, что в стране была основана своя технологическая компания, которую профинансировала IBM.
Но сотрудничество с нацистами не принесло ожидаемых прибылей --- 1939 году IBM потеряла связь со своим немецким подразделением Dehomag, а потом оно и вовсе прекратило существование.
А IBM осталось подпорченной репутацией. На протяжении всего послевоенного времени ни для кого не было секретом, что нацисты работали с перфокартами IBM. Это привело к нескольким международным судам.
В знак того, что компания разделяет скорбь о жертвах нацистов IBM даже пожертвовала $3 млн. в немецкий фонд жертв Второй Мировой войны.
Kanut
16.03.2022 18:45+1Подпорченная репутация это такое дело… Особенно учитывая что с немцами до определённого момента работала куча компаний и даже сотрудничали целые государства.
Тот же Форд если я всё правильно помню имел от сотрудничества с Германией чуть ли не десять миллионов в год. General Motors тоже примерно в этом размере. Американские нефтяные компании там вообще озолотились.
dakuan
16.03.2022 23:21+2Очень недальновидный капитал. Капитал поумнее, как мы видим, шарахается как черт от ладана.
Как-то вы рано выводы делаете, вам не кажется? Многие "очень недальновидные" компании существуют и по сей день (и весьма успешно). А вот как долго просуществует капитал "поумнее" будет видно лет через 50.
Репутационные потери от подобных действий гораздо серьезнее, чем от попытки остаться вне политики. По сути они продемонстрировали, что не являются надежными партнерами, т.к. могут в любой момент по велению своей пятки не только расторгнуть договор, но и украсть ваши деньги. Даже если вы никак не причастны к известным событиям.
Earthsea
16.03.2022 14:36+2В Вашем списке, кстати, не хватает Форда, ДжПиМоргана, Тиссен, Кока-Колы, Дженерал Моторс, Стандарт Ойл, Пратт и Уитни, Дуглас, Бендикс Авиэйшн и многих других крупных фирм, которые на тот момент были. хотя это и не немецкие фирмы :-). Но капитал, да хотя бы при при 10% прибыли- согласен на всякое применение.
А в Вашем не хватает Кодак. И поставлял он немцам совсем не фотопластины, а кое-что другое.
dobr07
17.03.2022 08:03+3Да давайте посмотрим в прошлое . Только почему вы сравниваете именно с фашисткой германией (у Путина нет надобности в чужих территориях, у него есть необходимость в соседях без НАТО и нацизма что следовало из его послания) здесь уместнее сравнивать с операцией США к примеру буря в пустыне (ну у США было много операций разной степени кровавости) ?
iig
17.03.2022 12:13Только почему вы сравниваете именно с фашисткой германией
Фюрер есть? Есть.
Тысячелетний рейх как идея-фикс есть? Есть.
Аннексия земель есть? Есть.
Тест пройден?
StraferPM
17.03.2022 19:27+1На западных ресурсах отношение к России как к нацистской Германии.
P.S. как мы видим - не только на западных.
ABConymous
16.03.2022 07:57+34Прямое следствие cancel-культуры – преследование за "неодобряемое", а не по закону
jMas
16.03.2022 13:36-7А разве импортозамещение - это не cancel-культура? Просто называется по-другому.
artebel
16.03.2022 10:42+9Сейчас появилось много кидалова от компаний, которые размещают баг баунти программы прям на своих сайтах. Я не знаю почему так, но я потерял связь со всеми иностранными компаниями, даже с которыми я уже успешно сотрудничал, даже которые должны были мне перевести деньги.
Мне кажется, что компании должны понимать опасность таких вот манипуляций по отношению к пентестерам, ведь они могут выложить эксплоиты просто в твиттер и ничего с этим не поделаешь.
Я не хочу становиться плохим, но меня вынуждают, и с каждым новым кидаловом держать себя в руках становится все тяжелее.
perfect_genius
16.03.2022 16:53+2Это как и с играми, софтом и кино. Мне не составляло бы труда их качать, но я сознательно оплачивал, чтобы поддерживать создателей. Теперь же они плюют на мою добрую волю.
Белые хакеры ещё и теряли дополнительные деньги по своей воле, ведь в Даркнете платят больше, да?artebel
16.03.2022 18:06+4Ну простой пример. Я тестировал американский сайт для предвыборных кампаний и мог стянуть всю бд с личными данных представителей (а может и не только представителей) кандидатов в президенты. Но вместо этого честно отправлял отчеты об ошибках. Никогда не было желания украсть данные, так как в моем понимании пентестеры должны помогать защищать пользователей и больше ничего.
Когда я вижу, что целые хакерские сайты формируют армии хакеров для взлома российской инфраструктуры (тупой кражи данных), мне становится очень грустно. Считаю, что ИБ сфера должна быть аполитичной.
artebel
16.03.2022 18:08Ремарка: хакерские сайты в моем понимании это hackerone, bugcrowd, synack, yeswehack, intigriti и тому подобные.
perfect_genius
17.03.2022 15:22Я тестировал американский сайт для предвыборных кампаний и мог стянуть всю бд с личными данных представителей (а может и не только представителей) кандидатов в президенты.
Ого, Рашн Хакерс — это не миф! Вы уже под санкциями США, раз так легко про это говорите?
denis-19
16.03.2022 10:46+2HackerOne принесли извинения украинским хакерам за ошибочную блокировку выплат.
Kormakk
17.03.2022 17:05Mickos tweeted: “I misspoke. We reroute hacker rewards to donations only on specific instruction by the hacker."
HackerOne backtracked on this statement, telling The Daily Swig that it is holding all reward payments for users in sanctioned regions.
Одумались слегка, если я правильно понял, то деньги просто заблокировали, на благотворительность они не уйдут, но и снять их не получится, пока работают санкции.
artebel
17.03.2022 22:09@LukaSafonov, добавьте в этот пост апдейт
Так, ребят, я тут проверил инфу собственными руками. H1 не перечисляет деньги ни в какие фонды, просто замораживает выплаты.
Вот все разъяснения от H1: https://www.hackerone.com/sanctions-faq
Конкретная цитата с пояснениями: We are not automatically donating any bounty payments to UNICEF or any other charity. We can through our normal process donate hackers’ rewards to charity but only on their express instruction. We apologize that we made an error in our original communication. We have changed our default Hack for Good charity to UNICEF and encourage donations of rewards (or portions of rewards) as one way of helping relief efforts.
abutorin
Может кто-то объяснить, а за что украинских багхантеров заблокировали?
axe_chita
«А сегодня в завтрашний день, не все могут смотреть. Вернее смотреть могут не только лишь все, не каждый может это делать.»
Не выразили явно свою позицию, по ситуации в родной стране.
Earthsea
Забыл уже кто это сказал. Читаю и думаю - откуда цитата, может Стругацкие, или Кин-Дза-Дза. Загуглил - мда...
axe_chita
Увы и ах, этот персонаж вышел не из под пера писателя…
votetoB
Как сказал их CTO, они заблокировали всех украинских, чтобы определить, кто из них из Донецка, Луганска и Крыма, а потом разблокировать всех остальных.
axe_chita
«Caedite eos. Novit enim Dominus qui sunt eius.»?
Kvakosavrus
Можно потребовать с пользователей фото и измерить форму черепа. Если европейский - разблокировать.
votetoB
Reductio ad absurdum здесь неуместен. Действия H1 вполне логичны и даже правильны.
ZhilkinSerg
Логичны чем? Ну попахивают они поддержкой украинского сепаратизма и не более того.
votetoB
Логичны тем, что H1 не хотят, чтобы их деньги отправились туда, где на них устраивают "специальные операции".
artebel
Окей, допустим. Но у них есть вывод в криптовалюту, которая никак не пересекается с налогами рф, почему на него нельзя выводить?
Багхантер переехал куда-нибудь в кз, оформил рвп, но его блокируют на платформе ????♂️
votetoB
Потому что санкции - это не высокоточное оружие, а "ковровые бомбардировки".
И вам не кажется, что проблема "у меня деньги зависли" гораздо менее существенна, чем те, с которыми сталкиваются граждане Украины?
artebel
Мы не в военном топике, здесь обсуждение исключительно тусовки багхантеров в рамках ИБ области. Не создавайте пожалуйста провокационный оффтоп в комментах.
votetoB
Я не вижу никакой возможности обсуждать это решение H1 вне контекста текущих событий. Более того, я считаю это невозможным, а любую попытку - лицемерием.
Decoupler
Вариант 1: отловить чертей из дыры и крыма, мимикрирующих под нечертей
Вариант 2: по ошибке
artebel
Какая-то грязная ненависть у вас в комментарии
Azazel10
А потом вы воете - "а нас то за что?!".
artebel
Надо ставить вопрос иначе - почему вообще белых хакеров кто-то блокирует? Это как минимум подрывает доверие к платформе и как максимум способствует утечкам эксплоитов в сеть.