Денежный вопрос: обсуждаем затраты на Bug Bounty с Лукой Сафоновым / Комментарии / Хабр

Статья интересная, хотя местами очень спорная, есть много довольно неоднозначных заявлений. Но есть ключевой момент, который надо всегда понимать:

Как сотрудники компании, вы являетесь только одними из возможных покупателей информации об уязвимостях и потенциальных утечках данных

Я не самый активный участник программ Bug Bounty, но ко мне регулярно приходят разные люди разной степени легальности, которые тоже хотят покупать информацию об уязвимостях. И зачастую существенно дороже, чем в Bug Bounty, и с предварительной оценкой, а не с подходом "Утром стулья, вечером решим, дадим ли деньги, и сколько". И к другим людям, которые занимаются Bug Bounty более активно и более публично, приходит еще больше таких людей, и тоже соблазняют их интересными условиями

Например, у абстрактной компании есть программа с максимальным негарантированным вознаграждением в 50 тысяч рублей. Есть посредники, которые могут организовать легальную передачу данных об уязвимостях с более гарантированной оплатой в 500 тысяч. И есть черный рынок, где информацию купят за миллион.

Я, например, не продаю уязвимости на черный рынок даже за большие деньги, так как считаю, что это неправильно. Но есть люди, которые так делают

И у многих людей возникает вопрос, зачем сдавать что-то в Bug Bounty, если часто можно получить легально существенно больше, а нелегально - еще больше?

Одна из самых сомнительных вещей, которые делают площадки (началось еще с активного пиара Hackerone), - создают две иллюзии:
* Что безопасность - это дешево (зачем платить пентестеру 10X за негарантированный результат, когда можно заплатить за подтвержденный баг Х или сколько захочешь)
* Что люди должны приносить уязвимости в Bug Bounty, когда их нашли, и отдавать за те деньги, которые указаны в программе

Bug Bounty - хороший инструмент при правильном применении. Безопасность - это дорого, и убеждая кого-то, что можно сделать ее более дешевой, можно случайно создать ситуацию, когда за кучу красивых футболок будет собрана информация о некритичных проблемах, а в то же время критичные уязвимости продаются за существенные деньги, но уже даже не компании.

LukaSafonov 17 апр в 18:28

Багбанути площадка не покупатель багов, а некий мост между компаниями и IT-сообществом. В совокупности получается более выгодный и эффективный механизм по обеспечению высокого уровня безопасности информационных систем и ресурсов. Багхантеры получают деньги и славу, компании - безопасность.

Людям, которые "сдают" баги в даркнет по большей части все равно есть там багбаунти или нет, они выбрали свой путь. Многие отлично стреляют в тире, но лишь единицы идут в наемные убийцы, если брать Вашу аналогию.

Багхантер, выбирающий ту или иную программу оценивает ее по своим критериям. Большинство багхантеров довольны существующими выплатами и программами.

Что безопасность - это дешево (зачем платить пентестеру 10X за негарантированный результат, когда можно заплатить за подтвержденный баг Х или сколько захочешь)

пентест != багбаунти

Что люди должны приносить уязвимости в Bug Bounty, когда их нашли, и отдавать за те деньги, которые указаны в программе

что мешает бездомным купит себе дома и перестать таковыми быть?

Bug Bounty - хороший инструмент при правильном применении. Безопасность - это дорого, и убеждая кого-то, что можно сделать ее более дешевой, можно случайно создать ситуацию, когда за кучу красивых футболок будет собрана информация о некритичных проблемах, а в то же время критичные уязвимости продаются за существенные деньги, но уже даже не компании.

По своему опыту могу сказать что в даркнете ее еще надо найти кому продать, а багбаунти легальный и легитимный способ "обналичить" баги и спать спокойно.