Rambler с хакерами продешевил

Источник
Белые хакеры смогут получить от 2000 до 100 000 рублей за найденные уязвимости. Эксперты считают эти суммы непривлекательными.
Rambler & Co принял превентивные меры по борьбе с хакерскими атаками: медиахолдинг запустил публичную программу по поиску уязвимостей на своих ресурсах на платформе, разработанной компанией Positive Technologies. Белые хакеры будут тестировать 10 проектов холдинга с наибольшей аудиторией, в том числе «Лента.ру», «Газета.ru», а также «Рамблер», «Рамблер/почту», «Афишу» и др. Об этом «Ведомостям» рассказал представитель Positive Technologies и подтвердил представитель Rambler & Co.

Цель программы Bug Bounty в том, чтобы с помощью внешних экспертов выявить и устранить уязвимости до того, как их обнаружат злоумышленники. В зависимости от уровня найденной угрозы белые хакеры получат от 2000 до 100 000 руб.

Rambler & Co лидирует среди российских медиахолдингов по размеру ежемесячной аудитории, каждый третий посетитель рунета читает издания Rambler & Co, приводит данные его представитель. Ранее Rambler & Co работал с американской платформой HackerOne, но «это была приватная программа» с закрытым доступом, говорит собеседник. HackerOne остановила выплаты багхантерам из России и Белоруссии еще в марте.

По мнению директора по кибербезопасности Rambler & Co Евгения Руденко, платформа Positive Technologies The Standoff 365 Bug Bounty выглядит наиболее зрелым решением на отечественном рынке. От нее компания ожидает «вовлечения большого числа специалистов, сильной экспертизы и дополнительного повышения уровня защищенности проектов и сервисов», объяснил Руденко.

У Rambler & Co есть рекламная сеть и сайты СМИ, взлом может вызвать общественный резонанс, объясняет гендиректор компании «Киберполигон» Лука Сафонов. У проектов Rambler & Co много собственной разработки с большим количеством легаси-кода, полученного от предыдущих разработчиков, добавляет основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян.

По данным Positive Technologies, доля атак на российские веб-ресурсы выросла до 22% в I квартале 2022 г. по сравнению с 13% в IV квартале 2021 г. СМИ впервые вошли в пятерку самых атакуемых: доля атак на них – 5%. «Наши исследования демонстрируют растущий интерес киберпреступников к медиаотрасли», – говорит CPO The Standoff 365 Ярослав Бабин.

Весной был взломан Rutube, через рекламную сеть взламывали «Лента.ру» и сайты других СМИ, напоминает Сафонов. Представитель Rutube сообщил, что компания проводит периодические киберучения для выявления уязвимостей и планомерные работы по их предотвращению. Статьи бюджетов, связанные с обеспечением кибербезопасности, «были пересмотрены в большую сторону». С начала года спрос медиа на ИБ-решения вырос, но «не колоссально», говорит Сафонов. «Это вопрос бюджетов, – считает он. – Все начали как минимум использовать web application firewall, средства защиты от DDoS-атак».

В основном вырос спрос на защиту от DDoS-атак, тем более что мировой лидер Cloudflare прекратил обслуживать большинство корпоративных клиентов из России, соглашается Оганесян. По данным DLBI, большая часть атак приходится на ресурсы, аффилированные с государством. Основными видами атак были DDoS, дефейсы через уязвимости в CDN и попытки подбора паролей. «Против основной проблемы российских интернет-СМИ DDoS-атак Bug Bounty, конечно, не поможет, а вероятность утечек, дефейсов и прочих взломов может снизить», – считает Оганесян.

Для успешного использования Bug Bounty, по его словам, компания и ее продукты должны быть интересны пользователям, выплаты достаточно высоки, а сервисы должны дорабатываться и расширяться. «То есть Bug Bounty Google будет привлекать интерес, а Bug Bounty Rambler – вряд ли», – считает он. «C таким уровнем оплаты они [Rambler & Co] привлекут мизерное количество хакеров, – считает Сафонов. – Средняя уязвимость должна стоить $1000–10 000, мелкие – около $500».

Руководитель департамента аудита и консалтинга Group-IB Андрей Брызгин считает программы Bug Bounty «достаточно эффективными», но в первую очередь для тех компаний, которые уже находятся на высоком уровне зрелости в ИБ-сфере и готовы платить большие деньги за критичные находки.

Платформа The Standoff 365 от Positive Technologies была представлена в мае 2022 г. По данным компании, на ней зарегистрировано более 2000 белых хакеров. Свои программы Bug Bounty разместили там VK и «Азбука Вкуса». По словам Бабина, на данный момент VK и «Азбука Вкуса» приняли более 35 отчетов об уязвимостях. Общая сумма выплат багхантерам превысила 500 000 руб.

Кроме Positive Technologies, Bug Bounty платформы есть у «Киберполигона» и BI.ZONE. «Киберполигон» открыл публичные программы Bug Bounty 1 апреля, сейчас на платформе около 10 программ, в том числе «Тинькофф» и «Сбермаркет», говорит Сафонов. Число багхантеров, по его словам, сейчас составляет 2500, но активных из них около 800. Средний размер вознаграждения по России составляет от 30 000 до 50 000 руб., отметил Сафонов.

Релиз Bug Bounty платформы BI.ZONE состоялся 25 августа, первым заказчиком стала «Авито». Сервис будет выплачивать до 300 000 руб. в зависимости от критичности и вероятности использования уязвимости. В BI.ZONE от комментариев «Ведомостям» отказались.
Персоны Компании
Телеграм-канал Банкста: сообщения от 22.09.2022
Сообщения канала за 22 сентября 2022 года.
Чертова учеба хакеров в школе МЭШ
Атака на серверы правительства Москвы нарушила работу сервиса.
Телеграм-канал Временное Правительство: сообщения от 21.09.2022
Сообщения канала за 21 сентября 2022 года.
Телеграм-канал Банкста: сообщения от 19.09.2022
Сообщения канала за 19 сентября 2022 года.
Телеграм-канал Банкста: сообщения от 15.09.2022
Сообщения канала за 15 сентября 2022 года.
Потанин спустит Росбанк на благотворительность
«Интеррос» Потанина передаст благотворительному фонду до 50% акций Росбанка, выкупленного у Societe Generale. Еще до 10% акций пойдут на мотивационную программу для его сотрудников. Против Потанина ввели санкции Британия и Канада.
Телеграм-канал Временное Правительство: сообщения от 14.09.2022
Сообщения канала за 14 сентября 2022 года.
Телеграм-канал Банкста: сообщения от 13.09.2022
Сообщения канала за 13 сентября 2022 года.
Телеграм-канал Компромат 2.0.: сообщения от 09.09.2022
Сообщения канала за 09 сентября 2022 года.
Телеграм-канал Временное Правительство: сообщения от 09.09.2022
Сообщения канала за 09 сентября 2022 года.
Телеграм-канал Банкста: сообщения от 07.09.2022
Сообщения канала за 07 сентября 2022 года.
Курьеры Тинькофф Банка в шаге от забастовки
С весны часть их жалуется на значительное сокращение и задержку выплат. Курьеры, которые доставляют карточки клиентам, утверждают, что получают примерно вдвое меньше, чем получали до марта.
Телеграм-канал Банкста: сообщения от 02.09.2022
Сообщения канала за 02 сентября 2022 года.
Телеграм-канал Временное Правительство: сообщения от 02.09.2022
Сообщения канала за 02 сентября 2022 года.
Телеграм-канал Компромат 2.0.: сообщения от 01.09.2022
Сообщения канала за 01 сентября 2022 года.
Телеграм-канал Временное Правительство: сообщения от 30.08.2022
Сообщения канала за 30 августа 2022 года.
Телеграм-канал Банкста: сообщения от 30.08.2022
Сообщения канала за 30 августа 2022 года.
Ситибанк больше ни на что не рассчитывает
В Citigroup ​заявили, что процесс выхода из российского бизнеса будет происходить в соответствии с регуляторными требованиями, а также с выполнением обязательств компании перед клиентами, сотрудниками и партнерами.