«Яндекс» предлагает «белым хакерам» миллионы рублей за поиск уязвимостей в своих сервисах. Особо удачливые могут заработать 7,5 млн руб. всего за одну найденную брешь. Это акционные расценки, увеличенные в 10 раз – с 20 октября 2022 г. максимальный размер награды составит 750 тыс. руб.
«Яндекс» сделает их хакеров миллионеров
Интернет-гигант «Яндекс» сообщил CNews об увеличении в десять раз выплат «белым («этичным») хакерам» за нахождение уязвимостей в его сервисах. В некоторых случаях всего одна найденная брешь может привести к пополнению счета хакера на несколько миллионов рублей.
Выплаты реализованы в рамках программы bug bounty «Яндекса», получившей название «Охота за ошибками». Столь резкое повышение размера выплат участникам программы – это способ «Яндекса» отметить ее юбилей. Она работает с конца февраля 2012 г., то есть в настоящее время она отмечает свой десятилетний юбилей.
Праздничная щедрость «Яндекса» не будет длиться вечно. Получить в 10 раз больше денег за свою работу «белые хакеры» (их символ – белая шляпа, white hat) смогут до 19 октября 2022 г. включительно. Таким образом, на пополнение своего личного или семейного бюджета ускоренными темпами за счет «Яндекса» у них будет ровно месяц со дня публикации данного материала.
По прошествии месяца программа «Охота за ошибками» не будет свернута. Размеры выплат по ней вернутся к прежним значениям.
Как получить деньги
В настоящее время у «Яндекса» существует масштабная градация расценок за выявленные уязвимости. Итоговая сумма денежного поощрения зависит от двух факторов – от степени критичности найденной «бреши», а также от сервиса, в который она закралась.
Например, наименьшую выгоду для «этичных хакеров» сулит поиск «дыр» в почтовом сервисе «Яндекса». С учетом увеличения в 10 раз они могут получить за каждую из них по 150 тыс. руб., а после окончания праздничной акции – лишь 15 тыс. руб.
На такую же сумму смогут рассчитывать хакеры, нашедшие брешь низкого уровня опасности в умных устройствах «Яндекса». Критичные уязвимости оцениваются в акционные 3 млн руб. или стандартные 300 тыс. руб.
Если хакеру повезет обнаружить уязвимость с возможностью запуска произвольного кода в веб-сервисах и приложениях «Яндекса», то он заработает на этом 750 тыс. руб., и это еще без учета акции. До 19 октября 2022 г. это сделает его богаче на 7,5 млн руб. Это максимальная сумма, которую можно заработать в программе bug bounty российского интернет-гиганта.
Всего на 20 сентября 2022 г. «Яндекс» предлагал четыре направления своей программы «Охота за ошибками». Первое – это инфраструктура, веб-сервисы, мобильные приложения «Яндекса», второе – умные устройства с голосовым помощником «Алиса». Третье направление – это поиск «дыр» в «Яндекс браузере», четвертое – в системе антиспама «Яндекса».
Кому «Яндекс» заплатит миллионы
Действующие правила «Яндекса» позволяют заработать миллионы рублей даже тем, кому еще не исполнилось 18 лет. Участвовать в его программе bug bounty могут даже 14-летние подростки, но только при наличии письменного согласия родителей.
Одна и та же уязвимость может быть обнаружена несколькими «белыми хакерами». Один ключевых факторов гарантированного получения денежного вознаграждения – это скорость выявления бреши» с последующим моментальным уведомлением о ней «Яндекса».
На момент публикации материала не было известно, могут ли принимать участие в программе иностранцы, или же искать уязвимости в сервисах интернет-гиганта в обмен на деньги могут только россияне. Редакция CNews обратилась с этим вопросом к представителям «Яндекса».
В дополнение к денежному призу участникам программы bug bounty, выявившим ту или иную уязвимость, полагается место в виртуальном «Зале славы» «Яндекса».
Киберпреступникам входа нет
«Белые хакеры» отличаются от тех, кого весь мир величает просто «хакерами». Последние взламывают системы ради кражи полезной информации, чтобы затем продать ее третьим лицам или потребовать за нее выкуп. Некоторые из них ломают системы крупных корпораций просто от скуки.
«Белые хакеры» работают по-другому. Они тоже занимаются взломом систем, но всегда оповещают их владельцев о найденных уязвимостях. По этой причине их еще называют «этичными хакерами». Разумеется, бесплатно они тоже не работают – их заработком являются программы bug bounty наподобие той, что реализовал «Яндекс».
Такие программы есть у многих компаний – некоторые полностью полагаются на свои силы при их проведении, другие обращаются к специальным агрегаторам, например, к американскому HackerOne, весной 2022 г. объявившему бойкот России. В стране есть и собственные сервисы подобного рода – один из них был анонсирован в ноябре 2021 г. и запущен в мае 2022 г. компанией Positive Technologies.
Закон (не) против
В настоящее время деятельность «белых хакеров» на территории России не легализована. Однако вероятность их попадания под уголовную ответственность далека от 100-процентной, поскольку то, чем они занимаются, вообще не упоминается в действующем российском законодательстве.
Однако в зависимости от того, как обвинение и суд будут трактовать законы, «белые хакеры» могут переехать в тюрьму на срок вплоть до 10 лет. Летом 2022 г. власти запланировали снять с них риск лишения свободы и легализовать их деятельность. Но на момент публикации материала никаких движений в эту сторону предпринято не было.
Источник cnews