Сегодня рассказываем, как с помощью Консоль.Про получают выплаты «белые» хакеры.
Наш клиент — Standoff 365, это платформа Bug Bounty от компании Positive Technologies. Standoff 365 помогает клиентам выстраивать и укреплять систему безопасности.
Как устроена платформа Bug Bounty
На платформе Bug Bounty клиенты размещают свои IT-системы и сервисы, а багхантеры ищут уязвимости и пытаются реализовать атаки и недопустимые для компании события. За найденные уязвимости багхантеры получают вознаграждения. Всего по программе Bug Bounty багхантеры сдали 2 600 отчетов и получили 35 миллионов рублей.
Головной офис в Москве, а клиенты по всей России. Несколько десятков клиентов крупных компаний: холдинг VK, Tinkoff, Азбука вкуса, Rambler& Co (издания Лента.ру, Газета.ру, Рамблер), Юла, Консоль.Про.
Компания Standoff 365 называет хакеров, которые ищут уязвимости, «белыми» хакерами, или «исследователями». Дело в том, что в России слово «хакер» все еще имеет негативную окраску.
Мы для удобства будем называть «белых» хакеров просто хакерами — но держим в уме, что они не взламывают код, а только исследуют его и ищут уязвимости, помогая компаниям защищаться.
Всего с компанией через Консоль.Про сотрудничают почти 70 хакеров — из России и за рубежом. Они ищут уязвимости, за найденные — получают выплаты через платформу Консоль.Про.Получить демодоступОставьте заявку, и мы расскажем, как Консоль.Про может вам помочьПопробовать бесплатно
Сколько багхантеры получают за найденные уязвимости
Мы не указываем названия компаний и опускаем некоторые детали — потому что все под NDA, и информацию разглашать нельзя, но все описанные случаи реальны и имеют связь с действительностью.
Суммы отличаются в зависимости от компании и типа уязвимости: низкий, средний, высокий или критический. Больше всего получают багхантеры за критические уязвимости, например:
2,4 миллиона рублей;
2 миллиона рублей;
четверо получили 1,2 миллиона рублей;
450 тысяч рублей за угон аккаунта в один клик.
Из-за уязвимости на клиентской стороне злоумышленники могли получить доступ к аккаунту любого пользователя. Для этого пользователю достаточно было перейти по специально сформированной ссылке в приложении компании.
Хакер за найденную уязвимость получил 450 000 ₽, а уязвимость исправили через два часа после получения отчета.
Как устроены выплаты в Консоль.Про
Хакеры получают задания на платформе Standoff 365. Потом хакер исследует код компании и ищет уязвимости. Когда что-то находит, готовит отчет об уязвимости: какие шаги привели к уязвимости, какие действия он выполняет. Например: «Заходим на страницу, нажимаем на кнопку Напечатать. Происходит такое-то и такое-то. Вот к чему это может привести: 1… 2… 3…».
Багхантер прикладывает пруфы — скриншоты. Некоторые хакеры даже дают советы, как закрыть найденную уязвимость. Но обычно подробного сценария достаточно, чтобы устранить баг.Когда хакер сдает отчет по найденной уязвимости, а клиент на платформе его принимает, хакер получает уведомление — такой-то отчет принят, такое-то вознаграждение получено. Если багхантер самозанятый или ИП, он получает выплату через Консоль.Про.
«Консоль.Про сначала была нашим клиентом — разместила свою инфраструктуру, чтобы хакеры нашли уязвимости. Такой подход к повышению надежности сервиса и желание упростить и ускорить выплату вознаграждений стали стимулами для нашего дальнейшего сотрудничества.
Мы начали работать с Консоль.Про — и в первый же месяц 70% хакеров перешли на платформу и захотели зарегистрироваться как ИП или самозанятые. В мае этот процент уже превысил 90, а в июне мы провели почти все выплаты через платформу — так они проходят быстрее.
Еще удобная фишка Консоль.Про — нам не нужно проверять, является ли хакер самозанятым, не превысил ли он лимит дохода. Это было конкурентным преимуществом Консоль.Про.Для меня как для руководителя бизнеса весь процесс онбординга был мегаприятный и простой. Все прозрачно, быстро, понятно».
Результаты
70 хакеров | 90% хакеров | Автоматизация |
---|---|---|
Получают выплаты в России и за рубежом. | Оценили удобство Консоль.Про и подключились к платформе в первые месяцы. | Для руководителя Standoff 365 все прозрачно, быстро, понятно. |
Популярное по теме за месяц
Как подать жалобу в налоговую: подробный гайд

Может ли программист быть самозанятым

Какие данные передают ИФНС в межведомственные комиссии по нелегальной занятости
