Каждая десятая найденная багхантерами уязвимость — категории high
Общая сумма выплат за найденные уязвимости составила более 15 млн рублей. BI.ZONE Bug Bounty также стала лидером по числу публичных программ среди российских платформ.
В 2022–2023 годах российский рынок багбаунти значительно вырос. На это повлияло не только развитие отечественных багбаунти-платформ, но и отказ зарубежных площадок от сотрудничества с заказчиками и исследователями из России. Если год назад на трех отечественных платформах были представлены всего пять компаний, то сейчас только на BI.ZONE Bug Bounty размещена 51 программа от 17 организаций.
Итоги первого года работы платформы подтвердили, что программы багбаунти позволяют ускорить выявление уязвимостей, не требуя при этом значительного расширения штата специалистов по безопасности. Как итог, эффективность выявления уязвимостей повышается, а стоимость их обнаружения, напротив, сокращается, если сравнивать с результатами использования других инструментов анализа.
Наиболее активный интерес к багбаунти проявляют компании из финансового сектора: по данным BI.ZONE, на них приходится 37% спроса на услуги багхантеров. При этом тренд на особую востребованность багбаунти со стороны финансовых организаций совпадает с общемировым. Это связано с тем, что сложные цифровые экосистемы банков заинтересованы в максимальной комплексной защите. Другой важный фактор — сохраняющийся в отрасли высокий уровень киберугроз: только за первый квартал 2023 года российские банки отразили 2,7 млн атак, предотвратив хищения на сумму 712 млрд рублей.
Для нас вопрос безопасной разработки имеет первостепенное значение. Мы постоянно проводим внешние аудиты от лучших компаний на рынке безопасности, рады, что сейчас открывается все больше возможностей для привлечения внешних исследователей и максимальной защиты наших клиентов. «Тинькофф» регулярно увеличивает выплаты багхантерам, а также вкладывается в развитие комьюнити специалистов по безопасности и будущего поколения кадров для отрасли в целом с помощью мероприятий, образовательных и стипендиальных программ.
К середине 2023 года BI.ZONE Bug Bounty стала лидером среди российских багбаунти-платформ по числу публичных программ, соотношение которых с приватными составляет почти 8 к 1. Из всех уязвимостей, обнаруженных багхантерами за первый год работы BI.ZONE Bug Bounty, 3% оказались критическими, а 10% относились к категории high. Еще 28% уязвимостей представляли собой угрозу средней степени, а 59% — угрозу низкой степени и «инфо» (репорты о недочетах, не влияющих на защищенность). Общая сумма выплат за найденные баги составила более 15 млн рублей. Рейтинг лучших багхантеров доступен на сайте BI.ZONE Bug Bounty.
BI.ZONE удалось выстроить оптимальный процесс работы с отчетами и наладить быстрые выплаты. Исследователи получают вознаграждение в среднем в течение 30 часов после подтверждения найденной уязвимости. В ближайшие планы по развитию BI.ZONE Bug Bounty входят открытая публикация отчетов для изучения лучших практик и расширение сотрудничества с крупнейшими российскими компаниями.
Мы встречали случаи, когда под багом понималась любая ошибка на сайте: неработающая кнопка или неправильно поставленная запятая. Но в рамках багбаунти речь идет только об уязвимостях с точки зрения кибербезопасности. Например, это ошибки, приводящие к удаленному выполнению кода на узлах API. Где такие искать и какими еще они могут быть, подробно описано в каждой из программ, представленных в свободном доступе на платформе.
Здорово, что получилось найти уязвимости, которые влияют на кибербезопасность компании! Но напоминаем: приносить баги в ресурсах вне скоупа — это риск. Компания может не платить за такие отчеты, так как не закладывала это в бюджет. А ваше время уже потрачено.
В конфликтных ситуациях лучше приводить аргументы, а не давить на эмоции. Можно предложить пересмотреть размер награды. В любом случае не бойтесь обратиться в нашу поддержку к специалистам с независимой экспертизой в сфере ИБ. Мы поможем разобраться, ведь одна из целей площадки BI.ZONE Bug Bounty — построить максимально выгодное для всех взаимодействие. Для этого мы и выступаем арбитром в непростых ситуациях.
Мы часто получаем этот вопрос от исследователей. Если багхантер действует так, как оговорено в программе, то все легально. А вот взлом инфраструктуры компании с использованием DDoS-атак или методов социальной инженерии запрещен в подавляющем большинстве случаев, это зафиксировано в условиях.
Наши разработчики постарались продумать все инструменты, необходимые для формирования отчета мечты. Используйте маркдаун-разметку, чтобы описывать найденные уязвимости понятно и красиво. А еще в вашем распоряжении готовые шаблоны, которые сэкономят время. Обязательно вместе с репортом отправьте все подтверждения работы: скриншот, видеозапись PoC, скрипт или файл бурпа, который поможет компании проверить наличие уязвимости. Они покажут, что вы действительно проэксплуатировали уязвимость, причем сделали это как белый хакер. Чем больше таких доказательств, тем больше вероятность заработать вознаграждение. За теоретическую возможность эксплуатации вендор не платит, увы.
Нет. На выбор предлагаем три налоговых статуса. Можешь заключить с нами договор гражданско‑правового характера как физическое лицо. Но выгоднее быть самозанятым или ИП.
ИП проходят государственную регистрацию, выбирают систему налогообложения и платят страховые взносы.
Самозанятость проще. Она подходит тем, у кого уже есть основная работа, а багхантинг занимает свободное от нее время. Тут есть существенные плюсы:
- Простое и быстрое оформление при помощи платежного провайдера «Консоль» займет всего 10 минут. Подробное описание процесса — в блоге платформы.
- Для получения выплат подойдет обычный счет в банке — специальный расчетный счет не нужен.
- Процесс уплаты налога автоматизирован благодаря интеграции с «Консолью».
Если изначально вы зарегистрировались в «Консоли» как физическое лицо, а позже решили получать вознаграждение в другом статусе, не нужно удалять аккаунт или учетную запись. Дополнительное заявление на смену налогового статуса тоже писать не нужно. А вот обратиться в поддержку стоит. Опишите ситуацию, укажите Ф. И. О., отправьте письмо на почту bb@bi.zone или сообщение в Telegram @BizoneBugBountySupport. Мы поможем.
В целом на нашей площадке процесс получения вознаграждения за баг выглядит так:
- Вы находите баг и через платформу отправляете компании репорт.
- Компания подтверждает баг и назначает награду в зависимости от его критичности.
- Когда вы получаете уведомление о том, что компания готова выплатить вам баунти, регистрируетесь в сервисе «Консоль» и указываете реквизиты счета. Сделать это можно через настройки профиля на платформе или по ссылке.
- После того как платежный провайдер вас верифицирует, вы через «Консоль» подписываете договор с BI.ZONE Bug Bounty, а также акт выполненных работ.
- Выплата оказывается у вас на счете (обычно в течение 30 часов), а узнаете вы об этом (и не только) благодаря push-уведомлениям.
Нет предела совершенству. Мы стараемся рассказать все, но если вы прочитали наши рекомендации и не нашли ответ, то напишите в поддержку на почту bb@bi.zone или в Telegram @BizoneBugBountySupport.