Standoff 365

Выплатили хакерам 35 миллионов рублей — и это легально

2 сентября 2023 2 мин 319 Написать комментарий

Сегодня рассказываем, как с помощью Консоль.Про получают выплаты «белые» хакеры.

Наш клиент — Standoff 365, это платформа Bug Bounty от компании Positive Technologies. Standoff 365 помогает клиентам выстраивать и укреплять систему безопасности.

Как устроена платформа Bug Bounty

На платформе Bug Bounty клиенты размещают свои IT-системы и сервисы, а багхантеры ищут уязвимости и пытаются реализовать атаки и недопустимые для компании события. За найденные уязвимости багхантеры получают вознаграждения. Всего по программе Bug Bounty багхантеры сдали 2 600 отчетов и получили 35 миллионов рублей.

Головной офис в Москве, а клиенты по всей России. Несколько десятков клиентов крупных компаний: холдинг VK, Tinkoff, Азбука вкуса, Rambler& Co (издания Лента.ру, Газета.ру, Рамблер), Юла, Консоль.Про.

Компания Standoff 365 называет хакеров, которые ищут уязвимости, «белыми» хакерами, или «исследователями». Дело в том, что в России слово «хакер» все еще имеет негативную окраску.

Мы для удобства будем называть «белых» хакеров просто хакерами — но держим в уме, что они не взламывают код, а только исследуют его и ищут уязвимости, помогая компаниям защищаться.

Всего с компанией через Консоль.Про сотрудничают почти 70 хакеров — из России и за рубежом. Они ищут уязвимости, за найденные — получают выплаты через платформу Консоль.Про.Получить демодоступОставьте заявку, и мы расскажем, как Консоль.Про может вам помочьПопробовать бесплатно

Сколько багхантеры получают за найденные уязвимости

Мы не указываем названия компаний и опускаем некоторые детали — потому что все под NDA, и информацию разглашать нельзя, но все описанные случаи реальны и имеют связь с действительностью.

Суммы отличаются в зависимости от компании и типа уязвимости: низкий, средний, высокий или критический. Больше всего получают багхантеры за критические уязвимости, например:

2,4 миллиона рублей;
2 миллиона рублей;
четверо получили 1,2 миллиона рублей;
450 тысяч рублей за угон аккаунта в один клик.

Из-за уязвимости на клиентской стороне злоумышленники могли получить доступ к аккаунту любого пользователя. Для этого пользователю достаточно было перейти по специально сформированной ссылке в приложении компании.

Хакер за найденную уязвимость получил 450 000 ₽, а уязвимость исправили через два часа после получения отчета.

Как устроены выплаты в Консоль.Про

Хакеры получают задания на платформе Standoff 365. Потом хакер исследует код компании и ищет уязвимости. Когда что-то находит, готовит отчет об уязвимости: какие шаги привели к уязвимости, какие действия он выполняет. Например: «Заходим на страницу, нажимаем на кнопку Напечатать. Происходит такое-то и такое-то. Вот к чему это может привести: 1… 2… 3…».

Багхантер прикладывает пруфы — скриншоты. Некоторые хакеры даже дают советы, как закрыть найденную уязвимость. Но обычно подробного сценария достаточно, чтобы устранить баг.Когда хакер сдает отчет по найденной уязвимости, а клиент на платформе его принимает, хакер получает уведомление — такой-то отчет принят, такое-то вознаграждение получено. Если багхантер самозанятый или ИП, он получает выплату через Консоль.Про.

«Консоль.Про сначала была нашим клиентом — разместила свою инфраструктуру, чтобы хакеры нашли уязвимости. Такой подход к повышению надежности сервиса и желание упростить и ускорить выплату вознаграждений стали стимулами для нашего дальнейшего сотрудничества.
Мы начали работать с Консоль.Про — и в первый же месяц 70% хакеров перешли на платформу и захотели зарегистрироваться как ИП или самозанятые. В мае этот процент уже превысил 90, а в июне мы провели почти все выплаты через платформу — так они проходят быстрее.
Еще удобная фишка Консоль.Про — нам не нужно проверять, является ли хакер самозанятым, не превысил ли он лимит дохода. Это было конкурентным преимуществом Консоль.Про.Для меня как для руководителя бизнеса весь процесс онбординга был мегаприятный и простой. Все прозрачно, быстро, понятно».
Роман Дворянкин, директор по развитию бизнеса Standoff 365

Результаты

70 хакеров	90% хакеров	Автоматизация
Получают выплаты в России и за рубежом.	Оценили удобство Консоль.Про и подключились к платформе в первые месяцы.	Для руководителя Standoff 365 все прозрачно, быстро, понятно.