Страницы

Сравнение bugbounty программ от Яндекса и Мэил.ру

В октябре прошлого года я делал анализ утекших паролей Яндекса и Мэил.ру. Как выяснилось, многие ящики были не заблокированы службами безопасности (например, клиенты "Яндекс.Почта для домена", "Mail.ru для Бизнесса", а так же множество ящиков "@inbox.ru@mail.ru", "@mail.ru@mail.ru" и т.д.) по причине недостаточно внимательной работы с утёкшей базой.
Сразу после публикации статьи мне пришла в голову идея написать им в службу безопасности, так как у этих компаний есть действующие программы bugbounty.


Первым отреагировала техподдержка домена i.ua (в утечке мэил.ру было несколько украинских доменов, которые принадлежали этой компании). Ребята вообще не были в курсе утечки (что очень странно, учитывая внимание СМИ к этой теме), однако отреагировали в течении нескольких часов. Вознаграждение - Дякуємо за інформацію, будемо попереджувати користувачів (0 рублей).

Далее через hackerone.com я написал в Mail.ru и через сайт Яндекса в Яндекс почти одновременно. Всего через 3 месяца я получил ответ от Mail.ru! Они засчитали баг и готовы были выплатить мне 300 баксов через PayPal или Bitcoin (+5% от Coinbase!). Пока я ждал от них ответа, размер вознаграждения увеличился почти в 2 раза. Круто!
Яндекс открыл тикет и молчал всё это время. После моего напоминания, они сообщили мне, что проблема находится "за рамками программы BugBounty" и всё.

Среди утекших ящиков была Яндекс.Почта для домена МЧС Ростовской области, которую Яндекс не захотел защищать, и которая была открыта для всех любопытных уже почти полгода. Поэтому я решил написать письмо в ФСБшный Центр реагирования на компьютерные инциденты в информационных системах органов государственной власти Российской Федерации gov-cert.ru, так как МЧСовский ящик полон служебными письмами (наверное). К тому же, основной версией утечки по-прежнему остается вирус, а значит МЧС РО стоит проверить компьютер на вирусы.

Сам сайт gov-cert.ru очень интересный. Домен зарегистрирован на частное лицо, IP адрес из Курска, https нет даже для формы отправки сведений об инциденте, на самом сайте нет никакой информации об организации, которая его обслуживает. Узнать, что сайт каким-то образом связан с ФСБ, можно только из твита Алексея Лукацкого.

Собственно неделя проша, а ответа из CERT'а нет. По всей видимости, и не будет.

Вывод: запустили bugbounty программу или CERT? Молодцы! Осталось только добиться того, чтобы это работало...

6 комментариев:

  1. Ах ты хитрюга! Ещё и 300 баксов заработал на утечке))

    ОтветитьУдалить
  2. Только это не сравнение баг-баунти программ ни разу. Заголовок не отражает того, что в контенте)

    ОтветитьУдалить
    Ответы
    1. Согласен. Как-то ничего более подходящего (и короткого) в голову не пришло.

      Удалить
  3. Подходящий заголовок "Как я заработал деньги на утекших паролях" =)

    ОтветитьУдалить
    Ответы
    1. Да, это самый приятный момент в статье )

      Удалить