Mail.Ru Group проводит первый конкурс на поиск уязвимостей в рамках программы Bug Bounty, запущенной при поддержке известного хакерского сообщества HackerOne. Сообщения о найденных брешах можно подавать до 20 мая, результаты будут объявлены 21 мая. Победитель, занявший первое место, получит $5 тыс., второе место — $3 тыс., третье — $1,5 тыс. Для остальных участников предусмотрены награды от $150, их итоговый размер будет зависеть от критичности выявленных проблем.

«Практика проведения конкурсов формата Bug Bounty отлично зарекомендовала себя во всем мире, поскольку помогает эффективно выявлять скрытые угрозы, — комментирует Анна Артамонова, вице-президент Mail.Ru Group, руководитель бизнес-подразделения «Почта и портал». — У нашей программы есть и другая задача: мы хотим популяризировать идею важности информационной безопасности. Сегодня эта проблема может затронуть абсолютно каждого, что убедительно продемонстрировала недавно обнаруженная критическая уязвимость HeartBleed в OpenSSL. Кстати, вознаграждение за нее было выплачено именно через ресурс HackerOne».

На данном этапе награды будут выплачиваться за обнаружение проблем в безопасности интернет-проектов:

  • Почта Mail.Ru,
  • Облако Mail.Ru,
  • Календарь Mail.Ru,
  • Mail.Ru для бизнеса,
  • Авторизационный центр Mail.Ru,

а также соответствующих приложений Mail.Ru Group для iOS и Android. Автора проектов в первую очередь интересуют следующие уязвимости:

  • XSS,
  • SQL Injection,
  • Remote Code Execution,
  • CSRF,
  • Directory Traversal.

По условиям конкурса найденные уязвимости можно будет предать огласке через три месяца после отправки сообщения. Это означает, что Mail.Ru Group надеется быстро исправить все обнаруженные ошибки, не лишая участников возможности получить свою долю славы.

Взаимодействие Mail.Ru Group и участников конкурса осуществляется на платформе HackerOne, через нее отправляются сообщения о багах и производятся денежные выплаты. Здесь же открыт раздел, посвященный новой программе Mail.Ru.

Категории: Уязвимости