Сколько зарабатывают в баг баунти
Перейти к содержимому

Сколько зарабатывают в баг баунти

  • автор:

Зарабатываем от 15.000$ на багхантинге.

https://t.me/slivshemtg

В чем суть Багхантинга:

Само явление получило название Bug Bounty («вознаграждение за ошибку»). Программы Bug Bounty реализованы многими известными компаниями, например, «Facebook», «Google», «Яндекс», «Вконтакте» и в принципе любой сервер будет благодарен тем, кто поможет им выявить ошибки в работе их цифровых продуктов.

Перед прочтением статьи подпишись на наш канал — *тык*

Самые известные Bug Bounty платформы:

В основном все багхантеры — фрилансеры, а иногда и просто «добровольцы», поэтому они не имеют в своей деятельности каких-либо ограничений, и могут искать любые уязвимости, которые смогут найти. Также они вольны сами выбирать место своего заработка: искать заказы на специальных платформах, либо же проявлять собственную инициативу и тестить любые понравившиеся сайты или приложения. Все что нужно после выявления багов – отправить подробный отчет в техническую поддержку и получить заслуженное вознаграждение.

Подробнее о том сколько можно заработать:

Самыми популярными платформами среди багхантеров считаются HackerOne и Bugcrowd, так как на них чаще всего появляются новые заказы. Политика сайтов защищает интересы как заказчиков, так и исполнителей, поэтому первым можно не беспокоиться о сохранности своих данных, а багхантеры могут быть уверены, что точно получат свой ганорар за выполненную работу.

Размер оклада зависит от уровня критичности найденных уязвимостей. На этих сайтах у исполнителей существует рейтинг, который повышается с количеством выполненных заданий. Для багхантеров с высоким рейтингом открывается доступ к приватной программе, где крупные компании размещают уже более серьезные задания, а значит, назначается и более щедрое вознаграждение.

Заработок на этих сайтах начинается от 50$ и может доходить и до 50 000$

Также недавно появились российские аналоги сайтов: BugBounty.ru и The Standoff 365. Заработок на этих платформах может составлять от 0 до 400 000 руб.

Многие сайты, например, такие как «Яндекс», на своих ресурсах имеют специальные программы поощрений для багхантеров. Яндекс за найденные ошибки платит от 5 000 до 750 000 руб.

И, как было написано ранее, можно уйти в абсолютный фриланс и искать ошибки на любых сайтах и приложениях, а дальше самостоятельно связываться с тех поддержкой и договариваться о цене.

Как стать охотником:

Какие знания необходимы багхантерам и где всему этому обучаться? Как сама работа, так и обучение в этом направлении предполагают самостоятельный поиск и самообразование. Но начать может каждый, у кого достаточно знаний и навыков – от охотников требуется только грамотный отчет с найденными ошибками, и прикреплять к нему дипломы, сертификаты или справку с последнего места работы не потребуется.

Чтобы уметь находить ошибки, и чем разнообразнее и сложнее они будут, тем лучше, необходимо разбираться в следующих направлениях:

  • Все о тестировании: методы, типы и виды, уметь работать с разными шаблонами проектирования;
  • Разбираться в архитектуре веб-приложений;
  • Понимать, как работают протоколы HTTP, DNS, TCP;
  • Знать языки программирования (Python, Java, MySQL, PHP и др. – опять же, количество здесь выступает приемуществом)
  • Практиковаться на тренажерах, например, «Hack The Box»;
  • Читать дополнительную литературу и изучать открытые отчеты по найденным уязвимостям (они есть также на сайте «HackerOne»);
  • Развивать нестандартное мышление – логические тренажеры точно помогут подходить к поиску более внимательно.

Сайт «HackerOne» запустил бесплатный курс «HACKER101», который могут пройти все желающие. На нем обучают:

  • Как выявлять, использовать и устранять основные уязвимости веб-безопасности, а также многие другие скрытые ошибки;
  • Как правильно обращаться с криптографией;
  • Как разрабатывать и анализировать приложения с точки зрения безопасности;
  • Как начать работать багхантеру
Чем отличаются багхантеры от других специалистов:

В цифровом сказочном мире тоже существуют белые и черные волшебники. Белые хакеры работают во благо человечества и свои способности для взлома применяют только из добрых побуждений. Носят они белые шляпы, и в их деятельность также входит выявление ошибок и уязвимостей. В отличие от багхантеров, «мирных жителей», белые, этичные хакеры выступают в качестве атакующей стороны, поэтому и специфика проблем, которыми они обычно занимаются, затрагивает только определенные сегменты. К тому же для хакеров взломы стали уже больше соревнованием или отдельным видом киберспорта. И чаще всего соревнуются в своих навыках по взлому на сайте CTFtime.

У тестировщиков, обладателей официальной работы со стабильным окладом, тоже ограничена сфера деятельности. В их работе основная ориентация идет на потребности пользователей, поэтому в первую очередь они следят за исправностью тех программ и функций, которыми чаще всего пользуются посетители сайта. С такой загруженностью невозможно проследить все ошибки, которые возникают, а думать о планах злоумышленников тем более некогда.

Багхантеры же птицы свободного полета, и в отличие от смежных направлений, они могут сами выбирать ошибки, которыми хотят заниматься, и никаких ограничений в их деятельности нет.

Истории успеха

Стать стабильным ежемесячным доходом багхантинг не сможет. Можно браться только за высокооплачиваемые заказы, но задачи и необходимое для их решения время – всегда будут разными. В процессе выполнения одного задания, вполне возможно, что будут выявлены еще и другие ошибки или уязвимости.

А иногда можно разово выиграть в лотерею или сорвать большой куш на одной ошибке. И примеров таких счастливчиков среди багхантеров не мало.

Беларуский Android-разработчик Дмитрий Лукьяненко (по поводу правильности написания фамилии: на сайте Google и на чеке указано Лукьяненка, во всех российских СМИ о нем пишут как Лукьяненко) в 2018 году за найденные баги получил гранты от «Google» 12 раз подряд. Один грант составляет 1337$, эту выплату даже назвали в его честь «1 dmitry». Сейчас Дмитрий входит в топ 20 лучших багхантеров гугла (сейчас на 13 месте).

А за один найденный баг на сайте «Facebook» он получил сразу $15 000.

Еще одна успешная история с компанией «Facebook» произошла у российского программиста Андрея Леонова: Компания за найденную ошибку отправила Андрею чек на 40 000$. На тот момент, в 2017 году, это были рекордные выплаты за багхантинг от «Facebook».

В чем заключается суть уязвимости?

На Facebook есть страница, где можно расшарить новость: написать содержание поста, прикрепить фотографию. Часть скрипта отвечает за обработку изображения, то есть запрашивает его с одного сервера и перекачивает на сервер Facebook. Так вот эта часть была построена с помощью уязвимой библиотеки ImageMagick — это очень известная и распространенная библиотека, которая позволяет производить некие манипуляции с изображением, в частности, менять их размер и формат. К концу года несколько исследователей безопасности обнаружили, что она уязвима к нескольким типам уязвимости, и к началу мая ImageMagick выпустили исправления.

Когда я наткнулся на эту страницу, то подумал, что раз тут происходит конвертация, то, наверное, можно ее проверить. Но, честно говоря, последнее, о чем я думал, так это о том, что Facebook где-то забыл обновить библиотеку с уязвимой версии на неуязвимую. Ты этого не ожидаешь, но, с другой стороны, в такой большой инфраструктуре, как Facebook, такое возможно. Представьте: у них 10 000 серверов и, допустим, на двадцати они забыли обновить.

Для пользователя всё работало. Но при определенных воздействиях можно было исполнить код на серверах компании Facebook, то есть получить доступ к данным, которые там хранятся. Какие там были данные, я, естественно, не знаю, потому что, по правилам участия в программе Facebook и других компаний, исследователь не имеет права лезть дальше. Он находит какую-то точку входа — и на ней должен остановиться, потому что иначе в лучшем случае лишится выплаты, в худшем — к нему применят все возможные меры как к хакеру уже в плохом смысле слова.

В России также есть случаи «случайных» вознаграждений: за найденную уязвимость на сайте для своей клиентки компания ПИК продала квартиру по первоначальной цене, и даже сделала дополнительную скидку на 100 тысяч рублей.

��Приватные схемы заработка в 10-30 раз дешевле чем у авторов, складчины: https://t.me/sckladchik

✔️Проверенные схема заработка:

Bug Bounty: как заработать на взломе

Белый хакер на фрилансе может заработать $200 за 5 минут, но не спешите сразу ломать все подряд. Мы расскажем, как делать это легально с программами Bug Bounty.

Этичный хакинг – одно из направлений в кибербезопасности. Сегодня мы расскажем, как белые хакеры могут заработать, охотясь за уязвимостям известных по всему миру компаний.

Bug Bounty – программа вознаграждения, по которой исследователи (хакеры) ищут пробелы в цифровой безопасности компании. Когда заказчик решает воспользоваться услугами взломщиков, разрабатывается специальный документ – программа Bug Bounty. Иногда она зашивается в другие документы по безопасности. Там описываются условия, с учетом которых можно отправляться на поиски багов.

Если хакер первым находит проблему и высылает понятный и правильно оформленный отчет, он получает вознаграждение. Вознаграждение – не всегда деньги, поэтому внимательно читайте политики (программы), если вы планируете зарабатывать таким способом. В Bug Bounty хакеры идут не только за материальной наградой. Некоторые ищут опыт, зарабатывают репутацию, а также решают захватывающие задачи с сервисами и продуктами, которые их больше всего интересуют.

Иногда компании в своих программах публикуют благодарности конкретным исследователям (хакерам), что тоже может быть форматом награды или приятным дополнением к деньгам. Как пример: Discord и Netflix.

В свою очередь для компаний Bug Bounty – это шанс избежать многомиллионных затрат и репутационного ущерба в случае реального взлома.

Важно! Не путайте программы Bug Bounty с пентестом. Во втором случае заключается контракт с заведомо квалифицированным сотрудником, у которого есть четкие дедлайны. Оплата идет за время, а не за нахождение уязвимостей.

Программы Bug Bounty

Программы бывают публичными и приватными. Первые доступны всем, хотя иногда можно наткнуться на требования к опыту и предыдущим результатам. В приватные программы компания сама отбирает подходящих ей специалистов. Если вас пригласили в приватную программу, количество конкурентов существенно меньше, а потому шансы заработать выше.

Обычно заказчики начинают с приватных программ. Когда они уже в состоянии обработать большое количество отчетов, некоторые переходят в публичный формат. В свою очередь хакеры, у которых не было опыта в Bug Bounty, начинают с публичных программ, чтобы собрать портфолио и заслужить хорошую репутацию.

Программы размещаются на собственных сайтах заказчиков и в специальных платформах (подробнее о них – ниже). Многие компании создают такие программы, поэтому если вам хочется исследовать какую-то определенную организацию, стоит поискать информацию о Bug Bounty в ее документации по безопасности.

Платформы для взаимодействия хакеров и компаний

Чтобы компаниям было проще находить исследователей, а исследователям – интересующие программы Bug Bounty, существует много специальных платформ. Там происходит общение, туда хакеры присылают отчеты, а компании платят через эти системы вознаграждения.

  1. HackerOne – стартап, который одним из первых начал продвигать тему краудсорсинговой безопасности. Сейчас это одна из самых популярных платформ для программ Bug Bounty. Чтобы принять участие в поиске багов, достаточно зарегистрироваться. Для новичков есть бесплатное обучение.

Чтобы вас пригласили на привлекательные приватные программы, нужны хорошие показатели. В HackerOne такой показатель – репутация, которая начисляется в формате очков в зависимости от размера вознаграждения и критичности уязвимости. В то же время репутация может снижаться, если вы посылаете плохие отчеты или спам.

В разделе «Hacktivity» можно изучить последние найденные уязвимости. В профилях компаний еще есть раздел «Thanks» – что-то вроде доски почета.

Подробнее обо всех нюансах работы вы можете узнать из документации. Саму платформу HackerOne тоже можно проверять на уязвимости: у нее есть профиль на сайте.

2. Bugcrowd – достаточно популярная платформа, которая используется рядом известных компаний. У них есть таксономия серьезности уязвимостей, по которой оценивается работа хакеров и назначается вознаграждение. Компаниям не нужно отдельно прописывать в политиках, какие уязвимости к какому уровню серьезности относятся.

Образовательные программы здесь скорее для тех, у кого уже есть база по кибербезопасности. Они знакомят хакеров с особенностями работы с Bug Bounty. Уроки состоят из видео, презетаций и лабораторий для ДЗ.

В профилях организаций есть раздел с объявлениями («announcements»), где публикуются апдейты по разным вопросам. Те хакеры, которые отправили хотя бы один релевантный отчет по этой программе, публикуются в разделе «Hall of fame».

За хорошие отчеты дают очки. Еще есть значки за достижения, прямо как в игре.

Значки зарабатываются по уровням, с накоплением количества отправленных отчетов и найденных уязвимостей.

Детальную информацию об использовании платформы Bugcrowd можно найти здесь.

3. Synack – платформа, автоматизирующая поиск эксплуатируемых уязвимостей для последующего расследования хакерами-фрилансерами. В отличие от предыдущих платформ, здесь хакеры проходят тщательный отбор. Только 10% кандидатов в итоге попадает в Red Team. Почитать подробнее о процессе отбора. А еще у них есть милота – маленький гайд для близких людей этичных хакеров.

4. Intigriti – европейская платформа. Перед регистрацией аккаунта лучше внимательно ознакомиться с ее условиями. Что касается обучения, создатели платформы предлагают посмотреть курс анимированных видео про разные уязвимости, а также гайд по написанию отчетов и подборку инструментов для хакинга. Исследователи с наилучшими результатами публикуются в «leaderboard».

Адекватных платформ с разными условиями немало. Другие варианты нетрудно в Reddit-комьюнити и на GitHub, но наиболее известные компании публикуют свои программы на HackerOne и Bugcrowd.

Какими бывают условия

В своих программах Bug Bounty большинство компаний указывают:

  1. где можно искать уязвимости: веб-приложение, мобильное приложение, определенные домены и др.;
  2. размер и условия вознаграждения;
  3. требования к специалисту;
  4. вопросы раскрытия уязвимости в публичном доступе;
  5. проводить атаки можно только на принадлежащие вам аккаунты;
  6. по вашему отчету у аналитиков безопасности конкретной компании должно получиться воспроизвести найденные уязвимости;
  7. известные ошибки, чтобы минимизировать повторы;
  8. раздел safe harbor (юридическое убежище) – условия защиты от ответственности за нарушение законодательства;
  9. компаний интересует в первую очередь безопасность данных их пользователей. За нахождения уязвимостей, с помощью которых можно получить доступ к персональным данным, – самое высокое вознаграждение;
  10. Социальная инженерия запрещена.

Примеры условий Bug Bounty от известных компаний

Проблема должна быть обнаружена на последних обнародованных версиях ПО. Если Apple не была знакома с обнаруженной проблемой, то можно заработать дополнительные 50% от указанного вознаграждения. Определены категории, где можно искать уязвимости, но отмечается, что если баг найден где-то еще и он значительно угрожает пользователям, хакеру тоже заплатят. Вознаграждение: от $5000 до 1 млн.

Раньше Telegram проводил конкурсы на взлом, но у сервиса есть и программа Bug Bounty. Если вы находите уязвимости в приложении или протоколе, которые влекут за собой изменения в коде, сервис заплатит от $500 до 100 000 и даже больше.

У них приватная программа, но можно исследовать и посылать отчеты, которые одобрят или нет. Запрещено использовать инструменты автоматизированного сканирования и тестировать DoS-атаки.

Указывает особенности тестирования разных продуктов. Оплата до $15 000. Нельзя посылать вопросы по найденным уязвимостям в службу поддержки. Это прерывает работу.

Заинтересованы в поиске уязвимостей только на app.clickup.com. Там данные пользователей. Списком отмечаются релевантные и нерелевантные уязвимости. Награду можно получить только если вы не из стран, на которые наложены санкции США. По деньгам $25-250.

Чего ожидать от Bug Bounty

  1. Для начала у вас должна быть хотя бы база по кибербезопасности, но даже если вы новичок, многие платформы предлагают бесплатные материалы для обучения.
  2. Это совсем не то же самое, что и пентест. Даже если вы уже опытный хакер, все равно придется подучиться.
  3. Это удаленная и гибкая работа.
  4. Для большинства исследователей это хобби и дополнительный заработок. Только 20% хакеров работают фул-тайм.
  5. Вы можете остаться без вознаграждения. Платят только тому, кто первым нашел баг. Если вы пару недель работали над какой-то уязвимостью, но конкурент загрузил отчет раньше, денег вы не получите.
  6. Чтобы быть успешным исследователем, сконцентрируйтесь только на нескольких программах (компаниях). Таким образом у вас получится находить более серьезные уязвимости.
  7. Качественные отчеты очень важны, ведь через них вы продаете свою работу. От отчета зависит, заплатят ли вам деньги и сколько.
  8. Внимательно читайте программы Bug Bounty компаний, если не хотите стать фигурантом уголовного дела!

Заработок в белую на Bug Bounty

Привет, аноним. В этой статье я расскажу тебе о том, сколько получают белые хакеры, которые участвуют в Bug Bounty программах. В целом, мы посмотрим, какие уязвимости репортят пользователи и сколько готовы платить за это компании. Для того чтобы показать максимально интересно, рассмотрим на примере отчетов найденных уязвимостей. Присаживайся поудобней, сегодня будет очень много интересного контента.

Вводная информация

Bug Bounty — это программа, в рамках которой пользователь может найти уязвимость, а заказчик заплатит за нее. Простыми словами, владелец сайта говорит вот сайт, за каждую найденную уязвимость плачу 500 долларов.

Конечно, существуют разные виды Bug Bounty программ, разные условия и оплата. Но нам вся эта информация не совсем интересна, так как, если вы станете на этот путь, то всегда сможете прочитать условия конкретной Bug Bounty. Могу сказать, что это очень важно, потому что бывают не совсем точные моменты, и из-за неправильной формулировки могут отказать в выплате. Да и не совсем приятно, если вы тестируете поддомен сайта, находите там уязвимость, а этот ресурс вне скоупа. Поэтому очень важно читать все условия.

Анализ выплат

Конечно, всем интересно о деньгах. Поэтому мы решили посмотреть суммы, которые выплачивают хакерам за найденные уязвимости. Если тебе интересно следить за хронологией, можно подписать на этот аккаунт в Твиттере. Здесь можно посмотреть за ошибками и выплатами, по платформе HackerOne. Это достаточно известная площадка, клиентами которой являются Mail.ru, PayPal, Министерство Обороны США, Qiwi, Vimeo и другие.

Итак, идем дальше и проанализируем выплаты на самой площадке. Для этого переходим на сайт Hackerone и в раздел Hacktivity. Здесь отображаются последние выплаты за найденные уязвимости. Те, что отображаются серыми полосами, являются не публичными. Отчеты, размер выплаты и другие условия по таким программам не отображаются. Давайте разберем, что есть с публичного доступа.

Для более детального анализа я сделал выборку по последним 30 отчетам, чтобы понять общую картину. Основная цель — посмотреть, какая средняя выплата и тип уязвимости. Средний чек получился 816,9 доллара. Очень сильно это значение зависит от нескольких больших выплат, которые были в выборке. Так средняя выплата составляет $100-300. В эту категорию попадают большинство XSS и SQL. Что получилось, можно увидеть на скриншоте.

Full Path Disclosure за $50

Меня интересовал минимальный порог входа. На площадке существует минимальная выплата — 50 долларов. Давайте посмотрим, за что можно получить эти деньги, и какие уязвимости нужно найти. Первая уязвимость, которая попала в глаза, это Full Path Disclosure. Знание полного пути, где располагается сайт — не совсем уязвимость, тем не менее, данная информация будет очень нужна при загрузке веб-шелла, например, через SQL-Injection.

Вот примеры запросов, которые приводили к появлению подробной информации:

Web Cache Deception и XSS за $200

Основная часть найденных уязвимостей на сайтах — XSS. В зависимости от сложности выплаты составляют от $100 и до $1500. Последняя планка выплачивается за сохраненные XSS. Давайте рассмотрим конкретный случай. Реализация атаки заключается в том, чтобы с помощью скрипта заразить кэш запросом, с нужными заголовками. Потом страница обновляется несколько раз, а ответ остается уже с XSS.

SQL Injection за $300

Вот такую уязвимость нашел один из пользователей в сервисе Qiwi. Данная ошибка возможна при восстановлении пароля. Пользователь детально описал эксплуатацию, как можно было реализовать данную уязвимость.

Как видно payload подставлялся в POST запрос на сброс пароля, и получаем обычную SQL-инъекцию.

После выполнения запроса, бекенд генерирует ошибку и отдает нам информацию, которая была запрошена, а именно версия СУБД.

SMS/Call spamming за $500

Пользователь нашел уязвимость, при которой отсутствовала проверка номера, при регистрации в Android Rider (Uber). Таким образом, можно было вводить разные номера и на телефон приходили бы текстовые сообщения, а также вызовы с просьбой подтвердить регистрацию.

Обход двухфакторной авторизации за $10000

Есть и такие примеры, но их намного меньше. Пользователь смог обойти двухфакторную авторизацию, а также внутренние лимиты системы (риск 5.0). Дальше в ходе анализа была найдена еще одна уязвимость, которая была уже серьезней — с риском 7.1. За первую уязвимость хакер получил 2500 долларов. И за вторую 7500 долларов. В итоге, финальная котлета составила 10 000 долларов.

Заключение

Среди разобранных отчетов, есть несложные уязвимости, которые достаточно быстро и просто найти. Для этого есть утилиты, а также нужные инструменты. Если смотреть в эту сторону, то можно зарабатывать и на поиске уязвимостей, участвуя в программах BugBounty. Конечно, найдя хорошую уязвимость и получив шелл, можно заработать куда больше. Всегда есть выбор, работать ли «в белую» или «в серую».

В следующих статьях я покажу, как можно найти элементарные уязвимости на сайтах, а также определенные инструменты, которые позволяют существенно упростить этот поиск. Это достаточно интересное направление, которое позволит вам лучше понять принцип работы веб-приложений, а также возможные уязвимости.

Как моя 9-месячная дочь заработала больше 1000 долларов в программе bug bounty

Всем привет! Сегодня хочу поделиться историей, которая приключилась с моей семьей. Статья не о том, как заработать денег. Это просто рассказ об интересном случае и некоторых тревожных мыслях, связанных с ним.

Предыстория

Уже достаточно давно я использовал смартфоны Xiaomi. Мне нравилось, что за небольшие деньги можно было получить в принципе качественный аппарат. Но в последнее время в них стало слишком много встроенной рекламы. Поэтому когда очередной смартфон сломался, я решил попробовать продукцию какого-нибудь другого производителя.

Слышал неплохие отзывы о Samsung и решил попробовать. У официального дилера купил средне-бюджетный аппарат — Galaxy A30 (года полтора назад он стоил около 25 тыс. рублей) и в целом был доволен. Он немного дороже Xiaomi, к которым я привык, но было видно, почему — по ощущениям устройство более качественное. Но речь не об этом.

Девятимесячный тестер

Моей маленькой дочке на тот момент было около 9 месяцев. В этом возрасте она любила все хватать и исследовать пальцами. Новый телефон она также брала, по-всякому крутила, трогала и даже грызла. Я не сопротивлялся, поскольку телефон все равно заблочен — пусть ребенок играет.

Однажды я заметил, что телефон в руках у дочери разблокирован. Вероятно, я забыл его выключить и она просто схватила его до того, как он выключился автоматически, подумал я. Но когда это повторилось третий и четвертый раз, я понял, что проблема не в забывчивости.

У меня был настроен вход по отпечатку пальца. У этой модели при входе внизу экрана появлялся значок отпечатка — к нему надо было приложить палец. Поэтому первым предположением было, что телефон можно разблокировать любым отпечатком. Попробовал — не сработало. Действительно, разблокировка срабатывает только с заведенным в системе отпечатком. И я начал следить за тем, как дочь играет с телефоном.

Через несколько дней я действительно увидел, как она разблокирует телефон. Ее очень привлекал появляющийся на экране значок отпечатка. Она по-разному двумя пальчиками его теребила. И внезапно телефон разблокировался.

Я решил попробовать сам, используя пальцы, не сохраненные в телефоне. Не сразу, но мне удалось повторить достижение дочери. Причем, не один раз.

Конечно, проблема была нестабильной — то удавалось разблокировать почти сразу, то требовалось полчаса пальцами водить. Но мотивации разобраться в происходящем добавлял масштаб проблемы. Это ведь серьезная уязвимость — блокировка фактически не работает, а в телефоне у всех стоят не только мессенджеры, но и банковские приложения. Ты потерял телефон, не успел спохватиться, а другой человек легко зашел в банк и сделал все, что угодно с твоими счетами. И если разблокировать телефон смогла моя маленькая дочь, то наверняка я — не первый, кто это заметил.

Общение с Samsung

Честно скажу — никогда не участвовал в программах bug bounty. Просто читал про это новости и знаю, что крупные компании хорошо платят за найденные серьезные уязвимости. Не столько из желания заработать денег, сколько из любопытства, чем это закончится, я написал в Samsung.

Дальше началась целая эпопея. Они просили проводить с телефоном различные действия — просто разблокировать; удалять отпечаток, создавать его снова и лишь потом разблокировать; обновлять прошивки и повторять процедуру. Естественно, все это нужно было делать на видео и периодически в той же записи показывать страницу с версиями прошивок.

Весь процесс осложнялся тем, что это был нестабильный баг. Пока ты делаешь все подготовительные действия, уже проходит несколько минут. И потом нужно еще воспроизвести саму разблокировку. Причем, каждый раз ты пытаешься воспроизвести ошибку, с первого раза она не воспроизводится, а ты про себя думаешь: “А может все уже починили?”

К процессу подключилась жена и на некоторое время это стало нашим семейным хобби по вечерам. “У нас новые вводные от Samsung, надо воспроизвести вот это. Давай я сижу с дочкой, а ты начинаешь!”. Специально для удобства съемок мы закрепляли один смартфон сверху, включали на нем запись, а снизу воспроизводили требуемую последовательность действий на моем устройстве. Чем-то это напоминало рыбалку. Разблокировка удавалась, свою порцию дофамина мы получали — рыба поймана.

Так прошло 5 месяцев.

Под конец из Samsung пришло сообщение с номером очередной обновленной прошивки, которой мне нужно было дождаться и повторить разблокировку. Когда обновление прошло, я включил запись, проверил номер прошивки, но не смог воспроизвести баг, потому что они добавили проверку кода после пяти неправильно введенных отпечатков подряд. Не факт, что первоначальную проблему убрали, но в таких условиях повторить уже не получалось ни у меня, ни у жены.

Мы ответили в Samsung, что проблема не воспроизводится.

Надо отметить, что у многих других производителей на устройствах уже давно был счетчик неверного ввода — это же решение, лежащее на поверхности. Но факт в том, что до этой прошивки у Samsung его не было.

Bug bounty

Спустя пару месяцев мне написали из Samsung, что заявленный мной баг был дубликатом, но имел высокий приоритет. Поэтому за сотрудничество в процессе его устранения нам полагается вознаграждение — 1380 долларов США. Компания была готова перевести деньги через один из специализированных сайтов-партнеров — Bugcrowd.

Я зарегистрировался и хотя фактически перевод еще туда не пришел, уже посмотрел, что скорее всего вывести оттуда деньги мне не судьба. Буду придумывать обходные пути, но для истории это на самом деле не важно. Это уже технический вопрос. Как бы он не решился, мне будет, что рассказать дочери, когда подрастет!

Краткие выводы

На мой взгляд, история не о том, что надо ругать или не ругать конкретного производителя. Зная, как это все устроено, я понимаю, что баги есть везде и всюду. Но все это в принципе подрывает доверие к способам защиты телефонов — биометрии и так далее.

Меня на самом деле поразила критичность бага — как легко разблокировать телефон, причем не какой-нибудь, а Samsung. Фактически, у телефона не было вообще никакой защиты. И этот баг правился довольно долго — полгода прошло с того момента, как я впервые его зарепортил. А ведь, как мне сказали, это был еще и дубликат (видимо, он был более старый). У других производителей все может быть еще хуже. И я бы держал в уме, что все, что у тебя есть, может быть легко хакнуто.

Какое-то время назад мне банк предлагал подключить распознавание по голосу — и я тогда отказался из общих соображений безопасности. А после этой истории я точно на это уже не соглашусь.

Автор: Андрей Буров (@burov4j), Максилект

P.S. Мы публикуем наши статьи на нескольких площадках Рунета. Подписывайтесь на нашу страницу в VK или на Telegram-канал, чтобы узнавать обо всех публикациях и других новостях компании Maxilect.

  • samsung
  • биометрическая идентификация
  • биометрическая защита
  • отпечаток
  • отпечаток пальца
Похожие публикации:
  1. Во сколько заседание фрс 4 мая
  2. Как пополнить счет в отп банке без комиссии
  3. Как привязать счет к paypal
  4. Когда будет акция на острове эфира

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *