На волне постов про уход компаний из РФ на волне санкций практически незаметно для большинства пользователей Рунета прошла новость о закрытии для граждан РФ, Беларуси и Украины площадки HackerOne. Вместе с блокировкой счетов.

Это такая биржа, на которой компании размещали свои программы, а багхантеры искали баги и все были довольны. Обычно такие профессиональные синергии остаются аполитичны, но не в этот раз, руководство h1 сделало ход конём:

Причём под этим «соусом» заблокировала выплату не только русским и белорусским, но и украинским багхантерам:

Под санкции попал и известный украинский багхантер Артем Московский, о котором есть статья на Хабре:

Дело даже не в невозможности вывести средства через российские платежные системы или альтернативные методы — денежные средства блокированы и будут направлены на благотворительность. Но, Mårten Mickos (CEO h1) начинает переобуваться в воздухе по поводу направления этой благотворительности. Максимально заблокированная сумма составляет порядка $100.000.

Также, во множественных комментариях h1 в твиттере указывают, что такая армия специалистов теперь просто будет продавать баги в даркнете — кому от этого станет лучше? Очень плохо, когда профессиональное коммюнити пытаются разделить по политическим взглядам. Есть прекрасный пример коллаборативного общения багхантеров со всего СНГ — t.me/WebPwnChat — где обсуждают технические детали, а не цвета флагов, волос, пол или религиозные убеждения.

Бизнес

С коммюнити разобрались, недовольные ноют, оптимисты ищут выход, а рисковые уходят в даркнет. Теперь к компаниям.

На данный момент заморожены компании VK Group, Yandex, Ozon, СберМаркет и многие другие, вместе с оплатой за хостинг на площадке и депозитом на выплаты багхантерам. Плюс ко всему существует немалая вероятность передачи багов российских вендоров и техногигантов "туда", учитывая плотное сотрудничество h1 с Dept Of Defence и АНБ.

Что делать?

Не лишним будет напомнить, если вы хотите иметь прямую связь с багхантером - разместите в корень сайта файл /security.txt с информацией о связи с командой, как это сделано на mos.ru или gosuslugi.ru.

В РФ существует площадка bugbounty.ru, готовая принять российские компании и багхантеров с hackerone/bugcrowd на лояльных условиях и взаимовыгодном сотрудничестве. Социально-значимые проекты размещаются бесплатно. 

Комментарии (71)


  1. abutorin
    15.03.2022 20:43
    +11

    Может кто-то объяснить, а за что украинских багхантеров заблокировали?


    1. axe_chita
      15.03.2022 21:07
      +25

      «А сегодня в завтрашний день, не все могут смотреть. Вернее смотреть могут не только лишь все, не каждый может это делать.»
      Не выразили явно свою позицию, по ситуации в родной стране.


      1. Earthsea
        16.03.2022 12:51
        +3

        Забыл уже кто это сказал. Читаю и думаю - откуда цитата, может Стругацкие, или Кин-Дза-Дза. Загуглил - мда...


        1. axe_chita
          16.03.2022 20:11
          +1

          Увы и ах, этот персонаж вышел не из под пера писателя…


    1. votetoB
      15.03.2022 21:49
      +6

      Как сказал их CTO, они заблокировали всех украинских, чтобы определить, кто из них из Донецка, Луганска и Крыма, а потом разблокировать всех остальных.


      1. axe_chita
        15.03.2022 21:55
        +44

        «Caedite eos. Novit enim Dominus qui sunt eius.»?


      1. Kvakosavrus
        16.03.2022 12:12
        +12

        Можно потребовать с пользователей фото и измерить форму черепа. Если европейский - разблокировать.


        1. votetoB
          16.03.2022 12:18
          -19

          Reductio ad absurdum здесь неуместен. Действия H1 вполне логичны и даже правильны.


          1. ZhilkinSerg
            16.03.2022 21:24

            Логичны чем? Ну попахивают они поддержкой украинского сепаратизма и не более того.


            1. votetoB
              16.03.2022 23:58
              -2

              Логичны тем, что H1 не хотят, чтобы их деньги отправились туда, где на них устраивают "специальные операции".


              1. artebel
                17.03.2022 16:55

                Окей, допустим. Но у них есть вывод в криптовалюту, которая никак не пересекается с налогами рф, почему на него нельзя выводить?

                Багхантер переехал куда-нибудь в кз, оформил рвп, но его блокируют на платформе ????‍♂️


                1. votetoB
                  17.03.2022 19:30
                  +1

                  Потому что санкции - это не высокоточное оружие, а "ковровые бомбардировки".

                  И вам не кажется, что проблема "у меня деньги зависли" гораздо менее существенна, чем те, с которыми сталкиваются граждане Украины?


                  1. artebel
                    17.03.2022 19:35
                    +2

                    Мы не в военном топике, здесь обсуждение исключительно тусовки багхантеров в рамках ИБ области. Не создавайте пожалуйста провокационный оффтоп в комментах.


                    1. votetoB
                      17.03.2022 21:51

                      Я не вижу никакой возможности обсуждать это решение H1 вне контекста текущих событий. Более того, я считаю это невозможным, а любую попытку - лицемерием.


    1. Decoupler
      16.03.2022 19:58
      -2

      Вариант 1: отловить чертей из дыры и крыма, мимикрирующих под нечертей

      Вариант 2: по ошибке


      1. artebel
        17.03.2022 16:53
        +1

        Какая-то грязная ненависть у вас в комментарии


      1. Azazel10
        17.03.2022 17:49
        +2

        А потом вы воете - "а нас то за что?!".


    1. artebel
      17.03.2022 16:56
      +2

      Надо ставить вопрос иначе - почему вообще белых хакеров кто-то блокирует? Это как минимум подрывает доверие к платформе и как максимум способствует утечкам эксплоитов в сеть.


  1. oxdef
    15.03.2022 21:01
    +44

    В мире багбаунти-программ важную роль играет доверие между всеми участниками процесса. То, что сделал H1, являясь по сути мировым локомотивом этого движения, никак этому принципу не соответствует.

    Не лишним будет напомнить, если вы хотите иметь прямую связь с багхантером - разместите в корень сайта файл /security.txt с информацией о связи с командой, как это сделано на mos.ru или gosuslugi.ru.

    Вот тут про формат security.txt чуть подробнее https://habr.com/ru/post/456910


    1. ovalsky
      15.03.2022 23:13
      +8

      В мире багбаунти-программ важную роль играет доверие между всеми участниками процесса.

      Я уже даже не знаю осталось хоть что-то к чему не подорвано доверие. Похоже, действительно пора "готовиться к земле", как сказал один классик)))


    1. sbars
      16.03.2022 00:03
      +42

      Любые наказания не за конкретные нарушения поведения пользователя на любой площадке подрывают доверие к этой площадке.
      В нормальной ситуации законность наказаний должна иметь приоритет над политической "справедливостью".
      Даже в реальной жизни настоящая справедливость иногда проигрывает настоящей законности - например, в случаях, когда не удаётся доказать вину реального преступника.
      И это правильно, потому что законность только такой и может быть - обоснованной.


  1. ifap
    15.03.2022 21:43
    +71

    Кинули багхантеров на тонны баксов... смелые ребята... и очень самоуверенные...


    1. D4rkCod3r
      15.03.2022 22:54
      +17

      Я думаю эти ребята потом об этом пожалеют и не раз!


    1. artebel
      16.03.2022 18:12
      +1

      Это не кинули, а украли.

      Интересно, когда вся эта шумиха закончится, возможно ли будет подать на такие компании в суд? Я не думаю, что у них в договоре прописана кража денег


  1. kareon
    16.03.2022 00:02
    +12

    А они не боятся, что озлевшие хакеры взломают теперь уже их собственный сайт и заберут вообще все деньги? :)


    1. iig
      16.03.2022 12:23

      взломают теперь уже их собственный сайт и заберут вообще все деньги?

      Прямо из файла security.txt заберут?


      1. mk2
        16.03.2022 12:58
        +1

        Продадут уязвимости куда-нибудь на Zerodium.


      1. artebel
        16.03.2022 18:10

        Нуу на hackerone частенько встречают серьёзные уязвимости


    1. greenkey
      16.03.2022 15:48

      Скорее всего, махнут рукой и перетекут в другое коммьюнити, либо создадут "форк".

      Тратить на это силы/время/средства - не слишком рационально.


  1. disakov
    16.03.2022 02:25
    +8

    Кстати на прямые вопросы в твиттере их СЕО не отвечает. Одно дело не работать с санкционными банками, другое дело с резидентами РФ. Позицию надо бы озвучить. Насколько я знаю, не резиденты граждане РФ/РБ проблем не испытывают. Кроме H1 также забанили SynAck (точно) и Bugcrowd (вроде). Есть площадки, которые продолжают работать. Но именно H1 зашкварилось благотворительностью за чужой счет.


  1. dobr07
    16.03.2022 07:20
    +15

    Мир больше не будет прежним ))) Надеюсь компании которые идут на поводу у своих политизированных СЕО обанкротятся. А те кто ставят во главу угла качество увеличат прибыль. Да, это уже сейчас происходит. Телеграм не вводит политической цензуры он бьет рекорды чего нельзя сказать о ФБ например.


    1. Zangasta
      16.03.2022 10:41
      +2

      Давайте посмотрим в прошлое. В 1937 год.

      Поставьте себя на место СЕО крупной компании, например IBM или Coca-cola и попробуйте оценить репутационные риски для компании от сотрудничества с нацисткой Германией.

      С учётом послезнания --- идея сотрудничества с наци быть вне политики --- выглядит как чудовищная ошибка. Задача грамотного СЕО --- избегать подобного, не так ли?


      1. Faxfox
        16.03.2022 10:53
        +2

        Адидас и Пума сотрудничали, причем выполняли заказы правительства


        1. DGG
          16.03.2022 10:59
          +13

          Адидас - внутрення немецкая фирма на то время.

          А вот Пума как фирма не сотрудничала - её до 1948 года вообще не было.


        1. Earthsea
          16.03.2022 13:03
          +12

          И Хуго Босс, и Порше, и Сименс, и Сваровски, и Цейсс, и Лейка, и БМВ, и Мерседес, и Бош, и Ауди (Auto Union), и многие другие, короче все немецкие фирмы, которые на тот момент были.


          1. Tiriet
            16.03.2022 14:02
            +15

            Не спрашивайте мужчину о зарплате, женщину- о возрасте, а немецкую фирму- о том, что она делала в период с 1933 по 1945 годы.

            В Вашем списке, кстати, не хватает Форда, ДжПиМоргана, Тиссен, Кока-Колы, Дженерал Моторс, Стандарт Ойл, Пратт и Уитни, Дуглас, Бендикс Авиэйшн и многих других крупных фирм, которые на тот момент были. хотя это и не немецкие фирмы :-). Но капитал, да хотя бы при при 10% прибыли- согласен на всякое применение.


            1. Zangasta
              16.03.2022 14:29
              -1

              Но капитал, да хотя бы при при 10% прибыли- согласен на всякое применение.

              Очень недальновидный капитал. Капитал поумнее, как мы видим, шарахается как черт от ладана.

              Давайте не будем забывать, что стратегия "жить здесь и сейчас" --- не стандарт по умолчанию. Многие СЕО планируют развитие компании на годы вперед.


              1. Kanut
                16.03.2022 14:49
                +5

                Очень недальновидный капитал.

                И в чём конкретно это выражается? Эти фирмы разорились киз-за своих решений? Или может всё-таки заоборот заработали?


                1. Zangasta
                  16.03.2022 15:33
                  -1

                  Сначала немного заработали. А потом понесли имиджевые убытки, которые многократно превысили кратковременную прибыль от сотрудничества.


                  1. Kanut
                    16.03.2022 15:39
                    +6

                    А вот на эти цифры я бы хотел посмотреть. Сколько конкретно заработали и как конкретно выглядели убытки.


                    1. Zangasta
                      16.03.2022 18:26

                      Как выглядели убытки: Потребность Германии в технологиях учета и классификации была настолько велика, что в стране была основана своя технологическая компания, которую профинансировала IBM.

                      Но сотрудничество с нацистами не принесло ожидаемых прибылей --- 1939 году IBM потеряла связь со своим немецким подразделением Dehomag, а потом оно и вовсе прекратило существование.

                      А IBM осталось подпорченной репутацией. На протяжении всего послевоенного времени ни для кого не было секретом, что нацисты работали с перфокартами IBM. Это привело к нескольким международным судам.

                      В знак того, что компания разделяет скорбь о жертвах нацистов IBM даже пожертвовала $3 млн. в немецкий фонд жертв Второй Мировой войны.


                      1. Kanut
                        16.03.2022 18:45
                        +1

                        Подпорченная репутация это такое дело… Особенно учитывая что с немцами до определённого момента работала куча компаний и даже сотрудничали целые государства.


                        Тот же Форд если я всё правильно помню имел от сотрудничества с Германией чуть ли не десять миллионов в год. General Motors тоже примерно в этом размере. Американские нефтяные компании там вообще озолотились.


              1. dakuan
                16.03.2022 23:21
                +2

                Очень недальновидный капитал. Капитал поумнее, как мы видим, шарахается как черт от ладана.

                Как-то вы рано выводы делаете, вам не кажется? Многие "очень недальновидные" компании существуют и по сей день (и весьма успешно). А вот как долго просуществует капитал "поумнее" будет видно лет через 50.

                Репутационные потери от подобных действий гораздо серьезнее, чем от попытки остаться вне политики. По сути они продемонстрировали, что не являются надежными партнерами, т.к. могут в любой момент по велению своей пятки не только расторгнуть договор, но и украсть ваши деньги. Даже если вы никак не причастны к известным событиям.


            1. Earthsea
              16.03.2022 14:36
              +2

              В Вашем списке, кстати, не хватает Форда, ДжПиМоргана, Тиссен, Кока-Колы, Дженерал Моторс, Стандарт Ойл, Пратт и Уитни, Дуглас, Бендикс Авиэйшн и многих других крупных фирм, которые на тот момент были. хотя это и не немецкие фирмы :-). Но капитал, да хотя бы при при 10% прибыли- согласен на всякое применение.

              А в Вашем не хватает Кодак. И поставлял он немцам совсем не фотопластины, а кое-что другое.


      1. dobr07
        17.03.2022 08:03
        +3

        Да давайте посмотрим в прошлое . Только почему вы сравниваете именно с фашисткой германией (у Путина нет надобности в чужих территориях, у него есть необходимость в соседях без НАТО и нацизма что следовало из его послания) здесь уместнее сравнивать с операцией США к примеру буря в пустыне (ну у США было много операций разной степени кровавости) ?


        1. iig
          17.03.2022 12:13

          Только почему вы сравниваете именно с фашисткой германией

          Фюрер есть? Есть.

          Тысячелетний рейх как идея-фикс есть? Есть.

          Аннексия земель есть? Есть.

          Тест пройден?


        1. StraferPM
          17.03.2022 19:27
          +1

          На западных ресурсах отношение к России как к нацистской Германии.

          P.S. как мы видим - не только на западных.


  1. ABConymous
    16.03.2022 07:57
    +34

    Прямое следствие cancel-культуры – преследование за "неодобряемое", а не по закону


    1. jMas
      16.03.2022 13:36
      -7

      А разве импортозамещение - это не cancel-культура? Просто называется по-другому.


  1. artebel
    16.03.2022 10:42
    +9

    Сейчас появилось много кидалова от компаний, которые размещают баг баунти программы прям на своих сайтах. Я не знаю почему так, но я потерял связь со всеми иностранными компаниями, даже с которыми я уже успешно сотрудничал, даже которые должны были мне перевести деньги.

    Мне кажется, что компании должны понимать опасность таких вот манипуляций по отношению к пентестерам, ведь они могут выложить эксплоиты просто в твиттер и ничего с этим не поделаешь.

    Я не хочу становиться плохим, но меня вынуждают, и с каждым новым кидаловом держать себя в руках становится все тяжелее.


    1. perfect_genius
      16.03.2022 16:53
      +2

      Это как и с играми, софтом и кино. Мне не составляло бы труда их качать, но я сознательно оплачивал, чтобы поддерживать создателей. Теперь же они плюют на мою добрую волю.
      Белые хакеры ещё и теряли дополнительные деньги по своей воле, ведь в Даркнете платят больше, да?


      1. artebel
        16.03.2022 18:06
        +4

        Ну простой пример. Я тестировал американский сайт для предвыборных кампаний и мог стянуть всю бд с личными данных представителей (а может и не только представителей) кандидатов в президенты. Но вместо этого честно отправлял отчеты об ошибках. Никогда не было желания украсть данные, так как в моем понимании пентестеры должны помогать защищать пользователей и больше ничего.

        Когда я вижу, что целые хакерские сайты формируют армии хакеров для взлома российской инфраструктуры (тупой кражи данных), мне становится очень грустно. Считаю, что ИБ сфера должна быть аполитичной.


        1. artebel
          16.03.2022 18:08

          Ремарка: хакерские сайты в моем понимании это hackerone, bugcrowd, synack, yeswehack, intigriti и тому подобные.


        1. perfect_genius
          17.03.2022 15:22

          Я тестировал американский сайт для предвыборных кампаний и мог стянуть всю бд с личными данных представителей (а может и не только представителей) кандидатов в президенты.

          Ого, Рашн Хакерс — это не миф! Вы уже под санкциями США, раз так легко про это говорите?


          1. artebel
            17.03.2022 16:50
            +1

            Все в рамках нда :)


          1. artebel
            17.03.2022 16:51
            +1

            В рамках договора - почему бы и не раскопать уязвимости


  1. denis-19
    16.03.2022 10:46
    +2

    HackerOne принесли извинения украинским хакерам за ошибочную блокировку выплат.


    1. perfect_genius
      16.03.2022 17:01
      +4

      Не знал, что Капитан Америка отвечает и за кибербезопасность.


    1. axe_chita
      16.03.2022 20:21

      «Э, нет! Ложечки-то нашлись, а вот осадочек остался!»


  1. avkor2021
    17.03.2022 11:45
    +2


  1. Kormakk
    17.03.2022 17:05

    Mickos tweeted: “I misspoke. We reroute hacker rewards to donations only on specific instruction by the hacker."

    HackerOne backtracked on this statement, telling The Daily Swig that it is holding all reward payments for users in sanctioned regions.

    Одумались слегка, если я правильно понял, то деньги просто заблокировали, на благотворительность они не уйдут, но и снять их не получится, пока работают санкции.


  1. artebel
    17.03.2022 22:09

    @LukaSafonov, добавьте в этот пост апдейт

    Так, ребят, я тут проверил инфу собственными руками. H1 не перечисляет деньги ни в какие фонды, просто замораживает выплаты.

    Вот все разъяснения от H1: https://www.hackerone.com/sanctions-faq

    Конкретная цитата с пояснениями: We are not automatically donating any bounty payments to UNICEF or any other charity. We can through our normal process donate hackers’ rewards to charity but only on their express instruction. We apologize that we made an error in our original communication. We have changed our default Hack for Good charity to UNICEF and encourage donations of rewards (or portions of rewards) as one way of helping relief efforts.