Корпорация Mail.ru Group предлагает этичным хакерам миллион рублей за взлом своего нового браузера Atom. Награду получит специалист, выполнивший сторонний код внутри программы. К участию приглашаются все пользователи платформы по отлову багов HackerOne.

Проект анонсировали одновременно с публикацией бета-версии Atom, основанного на движке Chromium. Разработчики сделали акцент на приватности и называют свой продукт «первой линией защиты от сетевых угроз». Программа включает множество функций для контроля выданных сайтам разрешений и работы в режиме инкогнито.

Так, специальная панель позволяет проверить, с какими настройками открывается просматриваемый ресурс или любой сайт по умолчанию. В ней пользователь может запретить доступ к камере или микрофону, заблокировать использование куки или всплывающие уведомления.

Режим инкогнито разработчики продвигают как инструмент для поиска справедливых цен при покупке авиабилетов или бронировании номера в гостинице. Пользователь может открыть страницу в анонимном режиме, не покидая основное окно браузера, а при необходимости — установить такой просмотр по умолчанию для выбранных сайтов.

Корпорация Mail.Ru Group внесла Atom в список приоритетных продуктов в рамках своей программы bug bounty на HackerOne и назначила следующие призы:

  • Выполнение стороннего кода в непривилегированном процессе или побег из песочницы принесут белым хакерам $3000.
  • Обход правила общего домена (Same Origin Policy) — $2000.
  • За другие, менее значительные бреши можно получить от $100 до $1000.

В компании подчеркивают, что все обнаруженные уязвимости должны затрагивать именно Atom, а не Chromium в его основе.

Наибольшее вознаграждение сулит доказанная возможность выполнения произвольного кода в самом браузере — автор такого эксплойта получит миллион рублей. Если успеха добьются сразу несколько участников программы, они поделят сумму между собой.

Компания принимает заявки до 21 марта 2019 года. Если к этому времени никто не сможет описать брешь такого типа, суперприз перейдет к хакеру, который выполнит код в непривилегированном процессе или проведет побег из песочницы.

Категории: Главное, Кибероборона