Netflix запустил программу bug bounty, а Dropbox обещает не судиться с исследователями - «Новости»

Netflix

В течение последних пяти лет компания Netflix принимала сообщения об уязвимостях в частном порядке, а с 2016 года также имела закрытую программу bug bounty, недоступную для широкой общественности. За это время исследователи обнаружили в продуктах  Netflix 190 различных багов. Самой крупной выплаченной наградой на сегодня, по данным компании, стало вознаграждение в размере 15 000 долларов США, которое ИБ-эксперты получили за обнаружение неназванной критической проблемы.

Теперь компания, наконец, объявила о запуске публичной программой вознаграждения за уязвимости на платформе Bugcrowd, поучаствовать в которой может любой желающий.

Исследователи могут получить за уязвимости вознаграждения в размере от 100 до 15 000 долларов США. Искать баги можно как на ряде доменов компании, так и в мобильных приложениях для  iOS и Android. К рассмотрению принимаются XSS, CSRF, SQL-инъекции, проблемы аутентификации и авторизации, утечки данных, баги, допускающие удаленное исполнение произвольного кода, проблемы, связанные с редиректами, логикой функционирования, протоколом MSL и мобильным API.

Dropbox

Компания Dropbox запустила свою bug bounty программу еще в 2015 году и до сих пор не ограничила размер максимальной выплаты за обнаруженные баги. За прошедшие годы исследователи нашли более 220 уязвимостей в решениях Dropbox, за что компания суммарно выплатила порядка 200 000 долларов.

Но изменения, анонсированные на этой неделе представителями Dropbox, не касаются размера выплат или изменения типов уязвимостей, принимаемых к рассмотрению в рамках bug bounty. Вместо этого разработчики Dropbox внесли изменения в правила распространения информации об уязвимостях (vulnerability disclosure policy, VDP), стремясь обезопасить исследователей и предоставить ИБ-специалистам гарантии того, что их не будут преследовать в судебном порядке, даже если те случайно нарушат правила программы.

К сожалению, ИБ-специалисты, обнаружившие проблемы в решениях какой-либо компании, действительно нередко подвергаются юридическому преследованию со стороны производителей. Из-за этого эксперты все чаще опасаются проблем и предпочитают вообще не иметь дел с bug bounty.

Представители Dropbox пишут, что специалисты годами подвергались травле, страдали от угроз и оскорблений, и в компании не желают возникновения подобных ситуаций. Dropbox  обещает «не предпринимать правовых действий в отношении исследований безопасности, проводимых в соответствии с политикой [компании], включая дружественное урегулирование случайных нарушений».

Dropbox заверяет, что специалисты могут обнародовать результаты своих исследований, согласно принятым компанией правилам VDP, и в ответ они не получат судебный иск и обвинения в нарушении DMCA (Digital Millennium Copyright Act — Закон об авторском праве в цифровую эпоху) или CFAA (Computer Fraud and Abuse Act –  Закон о компьютерном мошенничестве и злоупотреблении).

Более того, представители Dropbox призывают другие компании поступить так же и задуматься о защите специалистов. Для этого новая версия VDP компании станет свободным от копирайта шаблоном, который смогут использовать все желающие.

Фото: Mark Rain — Flickr