- PVSM.RU - https://www.pvsm.ru -

Охота за ошибками была ошибочной

На волне постов про уход компаний из РФ на волне санкций практически незаметно для большинства пользователей Рунета прошла новость о закрытии для граждан РФ, Беларуси и Украины площадки HackerOne. Вместе с блокировкой счетов.

Это такая биржа, на которой компании размещали свои программы, а багхантеры искали баги и все были довольны. Обычно такие профессиональные синергии остаются аполитичны, но не в этот раз, руководство h1 сделало ход конём:

Охота за ошибками была ошибочной - 1

Причём под этим «соусом» заблокировала выплату не только русским и белорусским, но и украинским багхантерам:

Охота за ошибками была ошибочной - 2
Охота за ошибками была ошибочной - 3

Под санкции попал и известный украинский багхантер Артем Московский, о котором есть статья [1] на Хабре:

Охота за ошибками была ошибочной - 4

Дело даже не в невозможности вывести средства через российские платежные системы или альтернативные методы — денежные средства блокированы и будут направлены на благотворительность. Но, Mårten Mickos [2] (CEO h1) начинает переобуваться в воздухе по поводу направления этой благотворительности. Максимально заблокированная сумма составляет порядка $100.000.

Также, во множественных комментариях h1 в твиттере указывают, что такая армия специалистов теперь просто будет продавать баги в даркнете — кому от этого станет лучше? Очень плохо, когда профессиональное коммюнити пытаются разделить по политическим взглядам. Есть прекрасный пример коллаборативного общения багхантеров со всего СНГ — t.me/WebPwnChat [3] — где обсуждают технические детали, а не цвета флагов, волос, пол или религиозные убеждения.

Бизнес

С коммюнити разобрались, недовольные ноют, оптимисты ищут выход, а рисковые уходят в даркнет. Теперь к компаниям.

На данный момент заморожены компании VK Group, Yandex, Ozon, СберМаркет и многие другие, вместе с оплатой за хостинг [4] на площадке и депозитом на выплаты багхантерам. Плюс ко всему существует немалая вероятность передачи багов российских вендоров и техногигантов "туда", учитывая плотное сотрудничество h1 с Dept Of Defence и АНБ.

Что делать?

Не лишним будет напомнить, если вы хотите иметь прямую связь с багхантером - разместите в корень сайта файл /security.txt с информацией о связи с командой, как это сделано на mos.ru или gosuslugi.ru.

В РФ существует площадка bugbounty.ru [5], готовая принять российские компании и багхантеров с hackerone/bugcrowd на лояльных условиях и взаимовыгодном сотрудничестве. Социально-значимые проекты размещаются бесплатно. 

Автор: Лука Сафонов

Источник [6]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/373021

Ссылки в тексте:

[1] статья: https://habr.com/ru/post/436128/

[2] Mårten Mickos: https://twitter.com/martenmickos

[3] t.me/WebPwnChat: https://t.me/WebPwnChat

[4] хостинг: https://www.reg.ru/?rlink=reflink-717

[5] bugbounty.ru: http://bugbounty.ru

[6] Источник: https://habr.com/ru/post/655861/?utm_source=habrahabr&utm_medium=rss&utm_campaign=655861