Rambler с хакерами продешевил

Белые хакеры смогут получить от 2000 до 100 000 рублей за найденные уязвимости. Эксперты считают эти суммы непривлекательными.
Rambler & Co принял превентивные меры по борьбе с хакерскими атаками: медиахолдинг запустил публичную программу по поиску уязвимостей на своих ресурсах на платформе, разработанной компанией Positive Technologies. Белые хакеры будут тестировать 10 проектов холдинга с наибольшей аудиторией, в том числе «Лента.ру», «Газета.ru», а также «Рамблер», «Рамблер/почту», «Афишу» и др. Об этом «Ведомостям» рассказал представитель Positive Technologies и подтвердил представитель Rambler & Co.

Цель программы Bug Bounty в том, чтобы с помощью внешних экспертов выявить и устранить уязвимости до того, как их обнаружат злоумышленники. В зависимости от уровня найденной угрозы белые хакеры получат от 2000 до 100 000 руб.

Rambler & Co лидирует среди российских медиахолдингов по размеру ежемесячной аудитории, каждый третий посетитель рунета читает издания Rambler & Co, приводит данные его представитель. Ранее Rambler & Co работал с американской платформой HackerOne, но «это была приватная программа» с закрытым доступом, говорит собеседник. HackerOne остановила выплаты багхантерам из России и Белоруссии еще в марте.

По мнению директора по кибербезопасности Rambler & Co Евгения Руденко, платформа Positive Technologies The Standoff 365 Bug Bounty выглядит наиболее зрелым решением на отечественном рынке. От нее компания ожидает «вовлечения большого числа специалистов, сильной экспертизы и дополнительного повышения уровня защищенности проектов и сервисов», объяснил Руденко.

У Rambler & Co есть рекламная сеть и сайты СМИ, взлом может вызвать общественный резонанс, объясняет гендиректор компании «Киберполигон» Лука Сафонов. У проектов Rambler & Co много собственной разработки с большим количеством легаси-кода, полученного от предыдущих разработчиков, добавляет основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян.

По данным Positive Technologies, доля атак на российские веб-ресурсы выросла до 22% в I квартале 2022 г. по сравнению с 13% в IV квартале 2021 г. СМИ впервые вошли в пятерку самых атакуемых: доля атак на них – 5%. «Наши исследования демонстрируют растущий интерес киберпреступников к медиаотрасли», – говорит CPO The Standoff 365 Ярослав Бабин.

Весной был взломан Rutube, через рекламную сеть взламывали «Лента.ру» и сайты других СМИ, напоминает Сафонов. Представитель Rutube сообщил, что компания проводит периодические киберучения для выявления уязвимостей и планомерные работы по их предотвращению. Статьи бюджетов, связанные с обеспечением кибербезопасности, «были пересмотрены в большую сторону». С начала года спрос медиа на ИБ-решения вырос, но «не колоссально», говорит Сафонов. «Это вопрос бюджетов, – считает он. – Все начали как минимум использовать web application firewall, средства защиты от DDoS-атак».

В основном вырос спрос на защиту от DDoS-атак, тем более что мировой лидер Cloudflare прекратил обслуживать большинство корпоративных клиентов из России, соглашается Оганесян. По данным DLBI, большая часть атак приходится на ресурсы, аффилированные с государством. Основными видами атак были DDoS, дефейсы через уязвимости в CDN и попытки подбора паролей. «Против основной проблемы российских интернет-СМИ DDoS-атак Bug Bounty, конечно, не поможет, а вероятность утечек, дефейсов и прочих взломов может снизить», – считает Оганесян.

Для успешного использования Bug Bounty, по его словам, компания и ее продукты должны быть интересны пользователям, выплаты достаточно высоки, а сервисы должны дорабатываться и расширяться. «То есть Bug Bounty Google будет привлекать интерес, а Bug Bounty Rambler – вряд ли», – считает он. «C таким уровнем оплаты они [Rambler & Co] привлекут мизерное количество хакеров, – считает Сафонов. – Средняя уязвимость должна стоить $1000–10 000, мелкие – около $500».

Руководитель департамента аудита и консалтинга Group-IB Андрей Брызгин считает программы Bug Bounty «достаточно эффективными», но в первую очередь для тех компаний, которые уже находятся на высоком уровне зрелости в ИБ-сфере и готовы платить большие деньги за критичные находки.

Платформа The Standoff 365 от Positive Technologies была представлена в мае 2022 г. По данным компании, на ней зарегистрировано более 2000 белых хакеров. Свои программы Bug Bounty разместили там VK и «Азбука вкуса». По словам Бабина, на данный момент VK и «Азбука вкуса» приняли более 35 отчетов об уязвимостях. Общая сумма выплат багхантерам превысила 500 000 руб.

Кроме Positive Technologies, Bug Bounty платформы есть у «Киберполигона» и BI.ZONE. «Киберполигон» открыл публичные программы Bug Bounty 1 апреля, сейчас на платформе около 10 программ, в том числе «Тинькофф» и «Сбермаркет», говорит Сафонов. Число багхантеров, по его словам, сейчас составляет 2500, но активных из них около 800. Средний размер вознаграждения по России составляет от 30 000 до 50 000 руб., отметил Сафонов.

Релиз Bug Bounty платформы BI.ZONE состоялся 25 августа, первым заказчиком стала «Авито». Сервис будет выплачивать до 300 000 руб. в зависимости от критичности и вероятности использования уязвимости. В BI.ZONE от комментариев «Ведомостям» отказались.
РАО выгнали из "Макдональдса"
РАО проиграло апелляцию в деле о музыке в ресторанах.
Церковь и Прилепин заработают на Донбассе миллионы
Всего президентский фонд распределил 2 миллиарда рублей между 493 организациями.
"Водоходъ" Олерского отдаст государственные миллиарды нужным людям
Бывший экс-замминистра транспорта из кожи вон лезет, что бы понравиться своим "хозяевам".
ЦСКА прищурил глазки
В минувшие выходные Центральный спортивный клуб Армии (ЦСКА) объявил о смене владельца 77,6 процента акций клуба.
Валуев не спешит в военкомат и пророчит новый Карибский кризис
Кому адресовал свою речь в Георгиевском зале Владимир Путин.
«Пикабу» заехало в Госдуму
Лидер парламентской партии «Новые люди» Алексей Нечаев стал владельцем популярного онлайн-ресурса «Пикабу».
В Физический институт РАН следователи пришли по ошибке
Заведенное в 2019 году дело о контрабанде оптических элементов, в рамках которого проходили обыски в Физическом институте РАН, закрыто, следователи «ошиблись адресом». В 2019 году двое фигурантов дела уехали из России.
Клинический случай Алексея Ремеза
Похоже Алексей Ремез в очередной раз решил заработать на здоровье людей, только станет ли им лучше от его услуг - большой вопрос.
Росреестр хочет отлучить оценщиков от кадастра
Похоже, Росреестр под руководством Скуфинского и кураторством Абрамченко решил "отодвинуть" от рынка оценки земли в госсобственности всех, кроме себя любимых.
Адвокат Ульянов играл в защите обвинения
Алексея Ульянова, клиенты которого признавали вину, лишили адвокатского статуса.
Экс-директора футбольной академии "Чертаново" суд удалил с поля
Как установил суд, в 2019-2020 годах он занимался приписками, чтобы получать для школы дополнительное финансирование. Следствие квалифицировало его действия как мошенничество на сумму 36,2 миллионов рублей. Подсудимый, признавая вину, был не согласен с квалификацией своих действий, отрицая корыстный мотив.
На оптимизацию своих зарплат ТОПы "Россетей" потратят миллион долларов
Кстати, руководит госкомпанией Андрей Рюмин - зять Медведчука.
Александр Чачава наиграется вволю
У игрового подразделения My.Games холдинга VK сменился акционер. Им стал основатель и управляющий партнер венчурного фонда Leta Capital Александр Чачава, который купил компанию за 642 миллиона долларов.
Взятки помощнице Дворковича давали путевками
Гражданин США осужден за посредничество во взяточничестве.
ЛДПР торгуется с наследниками Жириновского
Представители нового руководства ЛДПР ведут переговоры с членами семьи Владимира Жириновского, предлагая передать партии часть контролируемого ими сегодня и причитающегося по наследству имущества политика.
Следствие зачистило «Кремлевского мамковеда»
Тверской суд Москвы заключил под стражу администратора Telegram-канала «Кремлевский мамковед» Станислава Садового.
«Спартаком» скромно порулит англичанин
Новым спортивным директором московского клуба стал Пол Эшуорт.
Деньги в «Первом русском пенсионном фонде» расхищали по ипотеке
Осуждены участники аферы со средствами пенсионного фонда.
Хищение по европейскому стандарту оценили для банкира Натальи Важнаткиной в 8 лет
Вынесен приговор по делу о хищении 5 миллионов долларов из «Евростандарта».
Агаларов обнаружил у своих ресторанов второе дыхание
Бизнесмен, музыкант и первый вице-президент Crocus Group Эмин Агаларов продолжает открывать новые заведения в Москве, области и даже за рубежом.