April 07, 2023

Что такое Bug Bounty, программы по поиску уязвимостей в цифровых сервисах? Расскажем в трёх фактах, а вы слушайте подробнее — в новом выпуске yet another podcast.

1️⃣ Старейшая программа Bug Bounty в современной истории появилась в 1983 году. За найденные в операционной системе баги калифорнийский стартап Hunter & Ready обещал подарить автомобиль Volkswagen Beetle (также известный как Bug).

2️⃣ Одно из самых больших вознаграждений за найденную ошибку составило 605 тысяч долларов. В прошлом году его получил баг-хантер под никнеймом gzobqq за найденные уязвимости в операционной системе Android.

3️⃣ Создатели сериала «Мистер Робот» наняли технических консультантов, которые советовали, как правильно показать работу хакера и специалиста по кибербезопасности. Даже если это касалось сцены взлома, которая длилась всего 10 секунд.

Зачем компании нанимают хакеров? (yet another podcast #7)
Одни хакеры взламывают цифровые сервисы, чтобы завладеть данными и продать их на чёрном рынке. Другие взламывают сервисы, чтобы помочь разработчикам устранить уязвимости и сделать продукты безопаснее для пользователей. Они тоже получают вознаграждение, но не от злоумышленников, а по специальным программам Bug Bounty. Иван Чалыкин тоже когда-то работал баг-хантером и искал уязвимости в сервисах, а теперь он специалист по безопасности в Яндексе. Вместе с директором по безопасности Антоном Карповым они рассказывают, сколько могут заплатить за одну уязвимость и как на самом деле работают белые хакеры. Гость этого подкаста — техноблогер Wylsacom. yet another podcast — регулярный подкаст о новых технология, продуктах Яндекса и людях, которые над ними работают. В каждом выпуске ведущий Павел Кушелев с гостями обсуждают один продукт компании: большое обновление, важную разработку и стоявшие за ними процессы. Десять лет назад Яндекс запустил программу «Охота за ошибками», по которой баг-хантеры могут найти уязвимость в сервисах компании и получить вознаграждение. В прошлом году мы увеличили максимальное вознаграждение — за одну ошибку теперь платим до 1,5 миллиона рублей. Мы будем благодарны каждому, кто обнаружит ошибку в нашей системе безопасности и вместе с нами сделает её более надёжной: https://yandex.ru/bugbounty/index 📺 Канал Wylsacom https://www.youtube.com/@Wylsacom 🎧 yet another podcast на других платформах Яндекс Музыка: https://music.yandex.ru/album/24046885 Apple Podcasts: https://podcasts.apple.com/us/podcast/yet-another-podcast/id1679959386 🕓 ЧТО В ПОДКАСТЕ: 00:00 — О чём этот выпуск 01:39 — Как Wylsacom работал тестировщиком 02:50 — Когда впервые начали платить хакерам 05:31 — Словарь: Bug, RCE, Zero Day, Exploit, Pentest 09:47 — Сколько Яндекс и Apple платит за баги 11:42 — Словарь: XSS 13:36 — Первое баг-баунти в России 15:56 — Словарь: CTF и DEFCON 17:47 — Сколько зарабатывает баг-хантер 20:31 — Как компании проверяют хакеров 22:30 — Чёрный рынок багов 24:41 — Главные правила баг-хантеров 28:10 — Самые известные хантеры 33:05 — Два способа искать баги 35:46 — Секреты хакерских конференций 38:21 — Смешные баг-факапы 39:14 — «Мистер Робот», «Миллиарды» и фильмы про хакеров 41:10 — Скандальная история про Uber и хакеров 44:50 — Самые дикие баг-репорты 47:00 — Как у Wylsacom взломали канал 50:15 — Советы, как защитить свои аккаунты 52:10 — «Мир уходит от голосовой связи» 54:00 — Самый безопасный мессенджер 55:23 — Зачем обновлять приложения 56:06 — Что защищать сложнее всего 57:30 — Безопасники — параноики? 59:05 — ChatGPT заменит и хакеров тоже?