Хакерам заплатили $5000 за найденную уязвимость в ВКонтакте

Регулярно появляются новости о том, что
у той или иной компании
увели миллионы паролей или аккаунтов. LinkedIn, Yahoo, Evernote и многие другие пострадали от злоумышленников. Соцсети, которыми пользуются сотни миллионов людей особенно критичны к уязвимостям. Компании тратят большие деньги на найм специалистов по компьютерной безопасности, но только недавно они начали догадываться о том, что можно было бы применить какой-то свежий и актуальный тренд к такой насущной проблеме — например, попросить обычных пользователей (крауд-) находить проблемы с безопасностью (-секюрити).

Недавно подобный проект запустили Одноклассники, под кодовым названием «
Нация тестирует
«:

За каждый найденный серьезный баг соцсеть готова щедро заплатить до $500, причем в правилах даются такие определения «серьезности»:

К рассмотрению принимаются уязвимости, то есть недостатки в системе, используя которые, можно нарушить её целостность и вызвать неправильную работу Сайта. Уязвимость может быть результатом ошибок программирования, недостатков, допущенных при проектировании системы Сайта, ненадежных паролей, вирусов и других вредоносных программ, скриптовых, а также SQL-инъекций, позволяющих украсть пользовательскую сессию, загрузить контент (фото, видео и т.д.), не имея на это права < … >

Конкурс продолжается до 4 августа, надеемся что после его окончания Одноклассники поделятся результатами.

Для сравнения —  
Google платит за уязвимость в своем браузере до $60 тысяч долларов.

В другой соцсети поиск уязвимостей неофициально, но поставлен практически на поток. Аккаунт автора этих строк несколько месяцев назад угнали несколько молодых хакеров, которые, как выяснилось чуть позже, являются чуть ли не полуофициальной командой, которая помогает немногочисленным разработчикам поддерживать безопасность соцсети на уровне. После того, как с помощью одного из разработчиков аккаунт был возвращен законному владельцу, выяснилось, что никто не крал моих свиней девятого уровня и не читал важную переписку. Пишет
Олег Илларионов
, ведущий разработчик:

Да, это довольно неплохой хакер, тк он сливает нам уязвимости — у всех в друзьях. Аккаунт угонял ради фана, эти ребята так иногда делают в силу возраста, но ничего плохого они обычно не делают.

Вчера мы узнали о том, что в ВК был найден еще один серьезный баг, за который хакеры получили серьезные деньги.

XSS уязвимость позволяла выполнять практически любые действия от любого аккаунта. Как пишет один из тех, кто нашел баг, 
Артем Дизычев
 (второй —
Олег Варнов
):

Баг был очень серьезным, ведь активная уязвимость дает доступ к действиям от лица другого пользователя. Мы бы могли спокойно рассылать заявки в друзья, переводить себе голоса или более того могли бы и Дурова зацепить.

Можно было рассылать сообщения от лица Дурова другим пользователям. Ну из-за свой доброты, наверное, мы решили все рассказать Андрею Рогозову. Сразу починили и убрали то, что мы натворили. Ну а нам такое вот маленькое и приятное вознаграждение в виде голосов.

 

За добросовестность
Андрей Рогозов
, начальник отдела разработки ВК, выдал хакерам по 11 тысяч голосов (внутренняя валюта ВК, около 77 тысяч рублей на человека или ~150 тысяч рублей на двоих) — неплохая прибавка к зарплате:

Мы не могли не спросить у Артема — что он думает про конкурс Одноклассников, готов ли он искать баги за такой прайс:

Одноклассники имеют столь отвратительный интерфейс и столь убогий код, что мне туда не то что стыдно, а противно заходить. Я как-то написал для него спамер личных сообщений на JS. Но не более. И цены тут не важны.