Компания, пожелавшая остаться неизвестной, объявила о запуске в сентябре восьминедельной программы по поиску уязвимостей в новом продукте, позволяющих осуществить побег из виртуальной машины. Участие в программе строго по приглашению, размер обещанного вознаграждения весьма внушительный — $250 000.

Компания Bugcrowd, анонсировавшая эту программу, заявила, что это самая дорогая Bug Bounty, проводимая на стороннем ресурсе.

Готовность выплатить сразу $250 000 отражает растущую востребованность подобных программ, которые уже стали обычным инструментом для крупных компаний, таких как Microsoft, Google, Facebook и Apple, вербующих «белых хакеров» для поиска уязвимостей.

В прошлом месяце Microsoft объявила о запуске программы Bug Bounty для Windows с максимальной выплатой в размере $250 000, которая будет выплачена за уязвимости в гипервизоре и ядре Microsoft Hyper-V, позволяющие удаленно выполнять код.

В прошлом году на конференции Black Hat компания Apple объявила о запуске закрытой программы Bug Bounty с вознаграждением $200 000. Вскоре после этого компания Zerodium анонсировала, что готова заплатить $1,5 млн. за эксплойт, позволяющий удаленно произвести джейлбрейк iOS 10.

Так называемая «суперсекретная» Bug Bounty программа Bugcrowd проводится строго по приглашениям. Каждый исследовать должен будет предоставить подробный отчет о проделанной работе, включая идеи о том, как система потенциально может быть скомпрометирована — вне зависимости от того, удалось ли добиться успеха или нет. Авторы пяти лучших отчетов, не нашедшие уязвимости, но продемонстрировавшие высокий уровень экспертизы и серьезный объем вложенных усилий, получат по $10 000 в качестве компенсации за проделанную работу.

Программа стартует в первых числах и сентября и продлится восемь недель. По данным с сайта программы, к ней уже присоединились 27 участников.

Таинственная компания выплатит вознаграждение в размере $ 250 000 за нахождение «уязвимостей побега из гостевого режима, которые приводят к выполнению кода на уровне самой платформы виртуализации» и «уязвимостей побега из гостевого режима, которые приводят к выполнению кода в другой виртуальной машине».

По этой же программе $100 000 будет выплачено за нахождение багов, которые могут спровоцировать утечку содержимого памяти и кода в платформе виртуализации. Кроме того, $25 000 выплачивается за уязвимости, связанные с несанкционированным доступом к инфраструктуре.

«Столь крупные вознаграждения говорят о растущем интересе к Bug Bounty программам и зрелости рынка, который уже перестает быть нишевым», — говорит Кейси Эллис, генеральный директор Bugcrowd.

Согласно данным конкурента Bugcrowd, компании HackerOne, средние выплаты для участников программ bug bounty в прошлом году повысились на 16% по сравнению с средним показателем в 2015 году равным $1624. $50 000 — это стоимость самой дорогой программы по поиску критических уязвимостей на платформе HackerOne.

Категории: Уязвимости, Хакеры