8 лет назад 15 декабря 2011 в 13:16 226

Чёрные карточки для белых шляп

Facebook начал высылать хакерам, которые участвуют в программе поиска багов за деньги, фирменные дебетовые карточки чёрного цвета. Именно на них начисляется гонорар. Карточки «анонимны», вместо фамилии владельца на них написано BUG BOUNTY.

Чёрные карточки для белых шляп

Карточки столь редкой серии ценны сами по себе, как сувенир.

Некоторые компании выплачивают вознаграждение за найденные уязвимости в своих продуктах. Кроме Facebook, так поступают Mozilla, Google, «Яндекс» и другие. Для отдельных независимых специалистов по безопасности эти программы являются стабильным источником дохода. Например, россиянин Сергей Глазунов стал уже легендой в гугловском отделе безопасности, он зарепортил несколько десятков серьёзных багов и заработал к настоящему моменту около $80 000. И это только в одной программе.

Сергей Глазунов не один такой. Например, польский хакер Сымон Грушецки (Szymon Gruszecki) тоже получил такую карточку от Facebook как постоянный получатель выплат по программе

Facebook начал платить хакерам летом 2011 года. Минимальная выплата за уязвимость составляет $500 (XSS, CSRF/XSRF, инжекты), но за специфичные баги могут заплатить и больше.

Американский студент-первокурсник Нил Пул (Neal Poole) тоже участвует в программе выплат Facebook, Google и Mozilla, а после закрытия дыр публикует отчёты в своём блоге. Ему недавно прислали такую же карточку, эмитированную банком JP Morgan Chase — и он ходит в местное отделение этого банка, чтобы периодически переводить деньги с карты на свой основной счёт. По словам Нила, в первое время у него возникали сложности, потому что никто из сотрудников никогда не видел такой карточки. Студент говорит, что никогда не возьмёт эту карту на хакерскую конференцию вроде Black Hat или DefCon и ни в коем случае не будет ею рассчитываться. Ведь такая вещь может стать в хакерских кругах настоящим раритетом и её обязательно клонируют.

Никто не прокомментировал материал. Есть мысли?