- PVSM.RU - https://www.pvsm.ru -

General Motors запустила собственную Bug Bounty program, но без вознаграждений

Еще один выстрел в ногу [1]

imageКонцерн General Motors запустил собственную программу поиска багов и уязвимостей за «вознаграждение», сообщает securityledger.com [2]. Изюминкой новой BB стало то, что деньги за найденные уязвимости концерн выплачивать не будет.

Предназначена программа для «White hat»-хакеров и специалистов по информационной безопасности, которым GM предоставит доступ к своему программному обеспечению. Запущена «Bug Bounty» в целях повысить интерес «White hat»-хакеров и других экспертов к работе над внутренним ПО компании. Фактической же «наградой» за участие станет отсутствие судебных исков к специалистам, нашедшим уязвимости.

Запущен этот «аттракцион невиданной щедрости» был 5 января 2016 года на веб-сайте Hackerone [3] с обещаниями «вечной славы» для специалистов, которые примут в ней участие и передадут данные об уязвимостях безопасности программного обеспечения General Motors. О денежных вознаграждениях, как это обычно бывает при запуске BB-программ, на сайте не упоминается. Зато предлагается стать первым, кто «покроет себя вечной славой». General Motors не первый «старый капиталистический гигант», который приходит к IT-сообществу с подобными предложениями.

Между тем, чтобы не получить от автоконцерна многомиллионный иск, специалисту по безопастности или хакеру будет необходимо выполнять, к примеру, следующие требования:

  • Не вредить GM или их клиентам;
  • Предоставить подробный отчет о своей работе над их ПО;
  • Не ставить под угрозу жизнь или безопасность клиентов компании или ее услуги;
  • Не нарушать законов;
  • Обязаны предоставить детали местонахождения уязвимости для ее устранения силами GM;
  • Специалистам с Кубы, Ирана, Северной Кореи, Судана, Сирии и Крыма участвовать в программе запрещено.

Полное описание GM BB-program на скриншоте ниже:

image
За неделю желающих поучаствовать не нашлось

Учитывая рыночную капитализацию GM в 47$ млрд, отсутствие информации о денежном вознаграждении выглядит, как минимум, странно. Bounty Bug-программы стали серьезной статьей дохода для талантливых хакеров и специалистов по информационной безопастности и позволяют им зарабатывать сотни тысяч долларов в год, в тоже время повышая качество выпускаемого ПО крупными компаниями и софтверными гигантами. Услугами «вольнонаемных» безопастников активно пользуются такие компании как Yahoo, PayPal, Twitter, Facebook, Microsoft и другие.

Автор: ragequit

Источник [4]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/108740

Ссылки в тексте:

[1] выстрел в ногу: http://geektimes.ru/post/268952/

[2] сообщает securityledger.com: https://securityledger.com/2016/01/gm-launches-bug-bounty-program-minus-the-bounty/

[3] веб-сайте Hackerone: https://hackerone.com/gm

[4] Источник: http://geektimes.ru/post/269048/