«ВКонтакте» готов платить за выявление уязвимостей

Подробности

Опубликовано 03.06.2015 08:19

 Андрей Рогозов, возглавляющий отдел по разработке ВКонтакте, сообщает о запуске программы поощрений за нахождение уязвимых мест и ошибок внутри социальной сети. Об этом он пишет на своей страничке. Планируется использовать платформу HackerOne, через которую удобно будет оповещать о найденных уязвимостях и тут же получать обещанную награду.

Любой пользователь сможет пожаловаться на обнаруженную брешь и через имеющиеся сервисы: login.vk.com, vk.com, vkontakte.ru, vkmessenger.com, vk.me, vk.cc, а также мобильные приложения.

Также компанией оговаривается ряд исключений, за которые награду выплачивать не собираются. К ним относятся Open Redirect и использование специальных сканеров безопасности, а также нахождение и указывание бага без подробного описания потенциальной опасности. К тому же за использование в своих целях ошибки, физический доступ к серверам, угрожающие и причиняющие вред различные действия, направленные на компанию, сотрудников или пользователей, не последует оплаты. Кроме того, такие лица будут привлечены к ответственности.

Минимальная сумма вознаграждения за помощь в выявлении проблем объявлена в размере 100 долларов. И чем важнее выявленный недостаток, тем больше готова заплатить компания.

Подобные программы существуют у многих зарубежных и российских компаний, таких как: Яндекс, Mozilla, Mail.ru. В проекте Vulnerability Research Grants компания Google обещает за баг от 500 до нескольких тысяч долларов. Так в апреле этого года казанскому программисту Камилю Хисматуллину было выплачено 5000 долларов за обнаруженную уязвимость на YouTube, использование которой могло бы привести к удалению всего видеоконтента.