В пятницу вышла замечательная статья Почему в Украине всё-таки есть белые хакеры.
В ней Денис dinikin рассказал о своём опыте участия в bug bounty программе (программе финансового вознаграждения за найденные уязвимости) ПриватБанка, вскользь упомянув ссылку на страницу банка, где указана информация о данной программе.
Я также являюсь её участником и нахожу уязвимости или баги в программных комплексах Привата.
Но в этой статье я хочу рассказать не о своём опыте, а чуть подробнее о самой программе.
(данные по состоянию на октябрь 2015-го)
Итак, на странице про программу указано:
«Поиск IT-уязвимостей»
Даже высокий уровень безопасности не означает полную неуязвимость!
Если Вам известны «слабые места» в банковских системах, а также любых веб-ресурсах ПриватБанка, сообщите об этом нам и получите вознаграждение до 1000 USD в случае подтверждения и устранения уязвимости специалистами Банка.
Если у Вас возникла проблема с отправкой сообщения при помощи данной формы, отправьте письмо на адрес ACRMBO@privatbank.ua. Ваш сигнал обязательно будет рассмотрен в течение 7 рабочих дней с момента получения.
Там же указаны и правила:
«Условия и правила сотрудничества»
1. Любые тесты на проникновение, тестирование уязвимостей, реализация багов и тд. Должны проводиться исключительно на аккаунтах и счетах самих «взломщиков» либо их родственников/друзей/знакомых с их личного разрешения.
2. Проведение какого-либо рода тестирования уязвимости (которая может повлиять на работу комплексов банка, фин. операции и тд.) должно проходить исключительно с предупреждением банка по соответствующему каналу (канал поиска ИТ уязвимостей «Слабое место») не менее чем за 3 дня до проведения теста.
3. Любое тестирование уязвимости без предупреждения банка может быть расценено как попытка мошенничества с принятием соответствующих мер по его пресечению.
4. Сумма премирования за подтвержденную уязвимость зависит от критичности уязвимости, уязвимого ресурса, а также системности уязвимости.
5. Лимит в 1000 USD. носит условный характер. В случае выявления системной уязвимости с высокими рисками, сумма вознаграждения может составить более 1000 USD в каждом отдельном случае.
6. Любое распространение информации о найденных уязвимостях возможно только по согласованию с банком. В случае нарушения данного требования, банк оставляет за собой право на отказ в выплате вознаграждения.
7. Распространение информации об уязвимостях высокого и наивысшего уровня рисковости запрещается. В случае распространения информации касательно подобных уязвимостей до момента выплаты премии по сигналу – премия выплачиваться не будет. В случае подобных действий, после совершения выплаты премии, дальнейшее сотрудничество с взломщиком будет прекращено!
8. На любое Ваше обращение будет дан ответ в течение 7 рабочих дней.
9. Мы за честное сотрудничество! – Попытка пиарить себя за наш счет приведет к разрыву сотрудничества.
Статистика ведётся с 2011-года, однако только в конце 2015-го на официальном сайте был создан специальный раздел, так называемый «зал славы», куда заносятся данные о исследователях, которые нашли и сообщили о найденных ошибках в банк.
Для примера свежие данные, картинка:
Рейтинг составлен на основе устраненных уязвимостей, за которые уже произведены выплаты тестировщикам. Таблица разбита по периодам на кварталы. Каждому участнику присваивается, в зависимости от критичности найденной уязвимости, цифровой рейтинг. По нажатию на никнейм автора сигнала можно просмотреть, если он предоставил: ФИО, e-mail, количество обнаруженных уязвимых мест, сумму вознаграждения и дополнительные данные.
Рейтинг постоянно меняется, и авторы лучших сигналов в прошлых периодах могут просто не принимать участие в поиске ошибок в этом, поэтому для получения целой картины лучше просмотреть информацию за предыдущие периоды. А сам список, как мне кажется, может служить для многих хорошим пунктом в резюме — «Я нахожу уязвимости в Привате, вхожу в ТОП-X».
Собственно, ссылка на Рейтинг авторов сигналов.
Как видите, ПриватБанк не зря называют больше IT-компанией, чем банком, ведь среди отечественных банков он единственный, кто создал и поддерживает программу оплаты за найденные уязвимости. А программы bug bounty должны быть. И должны быть не только у таких компаний, как Facebook, Yandex, Mail.ru, Badoo, VK, но и у тех, которые работают с денежными средствами, ведь финансовые данные, бесспорно, требуют защиты больше, чем любые другие.
В ней Денис dinikin рассказал о своём опыте участия в bug bounty программе (программе финансового вознаграждения за найденные уязвимости) ПриватБанка, вскользь упомянув ссылку на страницу банка, где указана информация о данной программе.
Я также являюсь её участником и нахожу уязвимости или баги в программных комплексах Привата.
Но в этой статье я хочу рассказать не о своём опыте, а чуть подробнее о самой программе.
(данные по состоянию на октябрь 2015-го)
Итак, на странице про программу указано:
«Поиск IT-уязвимостей»
Даже высокий уровень безопасности не означает полную неуязвимость!
Если Вам известны «слабые места» в банковских системах, а также любых веб-ресурсах ПриватБанка, сообщите об этом нам и получите вознаграждение до 1000 USD в случае подтверждения и устранения уязвимости специалистами Банка.
Если у Вас возникла проблема с отправкой сообщения при помощи данной формы, отправьте письмо на адрес ACRMBO@privatbank.ua. Ваш сигнал обязательно будет рассмотрен в течение 7 рабочих дней с момента получения.
Там же указаны и правила:
«Условия и правила сотрудничества»
1. Любые тесты на проникновение, тестирование уязвимостей, реализация багов и тд. Должны проводиться исключительно на аккаунтах и счетах самих «взломщиков» либо их родственников/друзей/знакомых с их личного разрешения.
2. Проведение какого-либо рода тестирования уязвимости (которая может повлиять на работу комплексов банка, фин. операции и тд.) должно проходить исключительно с предупреждением банка по соответствующему каналу (канал поиска ИТ уязвимостей «Слабое место») не менее чем за 3 дня до проведения теста.
3. Любое тестирование уязвимости без предупреждения банка может быть расценено как попытка мошенничества с принятием соответствующих мер по его пресечению.
4. Сумма премирования за подтвержденную уязвимость зависит от критичности уязвимости, уязвимого ресурса, а также системности уязвимости.
5. Лимит в 1000 USD. носит условный характер. В случае выявления системной уязвимости с высокими рисками, сумма вознаграждения может составить более 1000 USD в каждом отдельном случае.
6. Любое распространение информации о найденных уязвимостях возможно только по согласованию с банком. В случае нарушения данного требования, банк оставляет за собой право на отказ в выплате вознаграждения.
7. Распространение информации об уязвимостях высокого и наивысшего уровня рисковости запрещается. В случае распространения информации касательно подобных уязвимостей до момента выплаты премии по сигналу – премия выплачиваться не будет. В случае подобных действий, после совершения выплаты премии, дальнейшее сотрудничество с взломщиком будет прекращено!
8. На любое Ваше обращение будет дан ответ в течение 7 рабочих дней.
9. Мы за честное сотрудничество! – Попытка пиарить себя за наш счет приведет к разрыву сотрудничества.
Статистика ведётся с 2011-года, однако только в конце 2015-го на официальном сайте был создан специальный раздел, так называемый «зал славы», куда заносятся данные о исследователях, которые нашли и сообщили о найденных ошибках в банк.
Для примера свежие данные, картинка:
Рейтинг составлен на основе устраненных уязвимостей, за которые уже произведены выплаты тестировщикам. Таблица разбита по периодам на кварталы. Каждому участнику присваивается, в зависимости от критичности найденной уязвимости, цифровой рейтинг. По нажатию на никнейм автора сигнала можно просмотреть, если он предоставил: ФИО, e-mail, количество обнаруженных уязвимых мест, сумму вознаграждения и дополнительные данные.
Рейтинг постоянно меняется, и авторы лучших сигналов в прошлых периодах могут просто не принимать участие в поиске ошибок в этом, поэтому для получения целой картины лучше просмотреть информацию за предыдущие периоды. А сам список, как мне кажется, может служить для многих хорошим пунктом в резюме — «Я нахожу уязвимости в Привате, вхожу в ТОП-X».
Собственно, ссылка на Рейтинг авторов сигналов.
Как видите, ПриватБанк не зря называют больше IT-компанией, чем банком, ведь среди отечественных банков он единственный, кто создал и поддерживает программу оплаты за найденные уязвимости. А программы bug bounty должны быть. И должны быть не только у таких компаний, как Facebook, Yandex, Mail.ru, Badoo, VK, но и у тех, которые работают с денежными средствами, ведь финансовые данные, бесспорно, требуют защиты больше, чем любые другие.
Поделиться с друзьями