«ВКонтакте» запустила программу вознаграждений за найденные в официальном приложении для iOS, Android и Windows Phone уязвимости. Об этом говорится в сообщении операционного директора социальной сети Андрея Рогозова.
Минимальная награда составляет $100, максимальное вознаграждение не имеет ограничения и зависит от важности уязвимости.
«Мы рады сообщить о запуске открытой программы вознаграждений за поиск уязвимостей внутри ВКонтакте. Благодаря платформе HackerOne, набирающей популярность среди сообщества хакеров и экспертов по компьютерной безопасности со всего мира, весь процесс от нахождения уязвимости, процесс становится максимально быстрым и простым», – написал на сайте Андрей Рогозов.
Для приема информации об уязвимостях компания использует платформу HackerOne. По словам Рогозова, благодаря ей нахождение уязвимостей и выплат вознаграждений становится быстрым и простым.
Ранее компания получала информацию о проблемах через встроенный сервис поддержки. Через HackerOne «удобно взаимодействовать, быстро переводя вознаграждения за найденные ошибки», отметил представитель соцсети Георгий Лобушкин.
Согласно условиям программы, «ВКонтакте» не будет выплачивать награду за отсутствие защиты отдельных элементов без описания конкретных примеров негативных последствий. Также не учитывается «получение физического доступа к серверам/инфраструктуре, а также угрозы/причинение вреда сотрудникам компании».
Компания будет выплачивать награду только первому исследователю, который прислал сообщение о проблеме, отмечает Siliconrus. Описание потенциального использования бага увеличит вероятность получения вознаграждения. В компании отмечают, что если уязвимость была использована против пользователей, то награда выплачиваться не будет.
В мае этого года российский разработчик Камиль Хисматуллин обнаружил ошибку кода, которая позволяла злоумышленникам забирать любые личные фотографии пользователей «ВКонтакте», в том числе, скрытые в переписке. В благодарность администрация сервиса перечислила на его счет $700.