03 Апреля 2025 10:24 03 Апр 2025 10:24 |

Поделиться

Андрей Лёвкин, Bi.Zone: Максимальная выплата за найденную уязвимость составила 2,4 миллиона рублей

«За 2024 год на платформе в 3 раза увеличилось число организаций из госсектора»

CNews: Сколько компаний предлагает программы для исследования на вашей платформе?

Андрей Лёвкин: Такие компании мы называем вендорами, на Bi.Zone Bug Bounty их почти 60. Они разместили более 100 уникальных программ, и это количество постоянно растет. 8 из них относятся к госсектору: 6 публичных программ и 2 приватные. Остальные — от коммерческих клиентов: страховой компании, банков, маркетплейсов, разработчиков ПО. В 2024 году компаний из финансовой сферы стало в 2 раза больше: на нашей площадке представлены 5 из 10 крупнейших банков России.

CNews: Почему финансовые организации стали активно выходить на багбаунти?

Андрей Лёвкин: Это связано с высокой степенью цифровизации отрасли: в организациях используется много данных и большая внутренняя разработка. Еще одна причина — высокий уровень требований кибербезопасности, которые предъявляют менеджмент компаний и Центральный банк РФ как регулирующий отрасль орган. К тому же компании приходят за опытом и знанием наших исследователей. Мы привлекаем специалистов, для которых анализ финансовой сферы — один из основных профилей.

CNews: Какие еще отрасли наиболее активно выпускают свои программы?

Андрей Лёвкин: За 2024 год на платформе в 3 раза увеличилось число организаций из госсектора. Первым стало Минцифры. Вскоре присоединились региональные органы исполнительной власти (РОИВ) Ленинградской и Волгоградской областей. Одна из причин роста: Минцифры ввело параметр «Информационная безопасность» в рейтинг цифровой трансформации госорганов. Чтобы подняться в рейтинге, органам исполнительной власти нужно выйти на багбаунти-платформу.

У РОИВов много информационных ресурсов для взаимодействия с населением, которые могут стать безопаснее благодаря работе исследователей. За 3 года работы нашей платформы багхантеры нашли более 700 уязвимостей в программах госструктур. В 25% случаев всех найденных уязвимостей баги позволяли украсть персональные данные, а в 10% — внутренние файлы сервера.

«У нас есть уникальная особенность: встроенный VPN-сервис»

CNews: Расскажите, как за последний год изменилась ваша платформа и какие основные достижения вы бы отметили.

Андрей Лёвкин: Главное: мы изменили дизайн платформы, добавили новые функции, что позволило улучшить пользовательский опыт вендоров и исследователей. Например, теперь пользователи могут управлять VPN-сервисом прямо из веб-интерфейса. Еще провели три мероприятия BUGS ZONE, в которых участвовал крупный бизнес. Один из этих ивентов вошел в число крупнейших по выплатам в России. За 2 недели исследователи обнаружили 213 уязвимостей и получили более 13 миллионов рублей.

CNews: Как вы работаете с обратной связью от исследователей и вендоров?

Андрей Лёвкин: Мы проанализировали комментарии, которые получали чаще всего, и основной запрос оказался простым. Заказчики хотели, чтобы вся информация в веб-интерфейсе была в виде таблицы с возможностью сортировки по столбцам и ячейкам. Это мы и внедрили. Теперь на одном экране видно одновременно десятки отчетов с ключевыми данными: статусом и названием отчета, критичностью багов, вознаграждениями и ответственными со стороны вендора. Благодаря этому улучшилась одна из метрик — теперь нужно еще меньше кликов для выполнения какого-либо действия, то есть компании быстрее собирают статистику по присланным отчетам.

CNews: Если говорить о конкурентной среде, почему вендору стоит выбрать именно вашу платформу?

Андрей Лёвкин: У нас есть уникальная особенность: в платформу встроен VPN-сервис. Заказчик одним кликом включает его, и весь трафик от исследователей проходит через наш VPN. Компании могут настраивать свои средства защиты информации на выходные адреса нашей платформы. Благодаря этому сотрудники SOC понимают, когда компанию атакует злоумышленник и нужно реагировать по инструкции, а когда работает багхантер. Уменьшается количество ложных срабатываний, а значит, отчеты рассматриваются быстрее.

«Наша платформа выступает в качестве третьей стороны и помогает урегулировать вопросы»

CNews: Расскажите, как новые вендоры запускают программы?

Андрей Лёвкин: Сначала наши специалисты встречаются с представителями организации, которая планирует выйти на багбаунти, объясняют особенности площадки и условия взаимодействия. Когда договор подписан, клиент получает доступ на платформу и необходимые документы. Среди них — руководство пользователя, шаблоны оформления программ и ответов багхантерам. Клиенту нужно заполнить три ключевых блока информации: вилку вознаграждений, ресурсы для исследователей и правила программы.

По найденным багам исследователи отправляют отчеты. Организации могут анализировать их сами или воспользоваться нашей услугой триажа — верификации уязвимостей. В случае триажа мы проверяем полноту описания уязвимости, ее воспроизводимость и корректность оценки критичности, а также даем рекомендации по устранению. Результаты передаем клиенту, который оценивает критичность уязвимости и назначает вознаграждение.

CNews: Как заказчики выбирают исследователей на платформе?

Андрей Лёвкин: На Bi.Zone Bug Bounty есть публичные и приватные программы. В публичных проверить на уязвимости ресурсы вендора может любой исследователь. Если компания запускает программу в приватном режиме, то может сама выбрать багхантера из рейтинга или попросить у нас рекомендации. Еще вендор может сам приглашать исследователей или попросить нас добавить нужное количество участников.

CNews: В чем заключается ваша роль в коммуникации между организациями и багхантерами?

Андрей Лёвкин: Отчет не подразумевает обязательное вознаграждение. Например, исследователь обнаружил баг, о котором компания уже знает. Тогда выплаты не будет. Иногда исследователи и вендоры по-разному оценивают критичность найденной уязвимости. Возникает спорная ситуация, в которой наша платформа выступает в качестве третьей стороны и помогает урегулировать вопрос.

«Мы выплатили вознаграждение за 1500 уязвимостей за прошлый год»

CNews: Сколько уязвимостей было раскрыто за прошлый год?

Андрей Лёвкин: Мы получили 1500 отчетов, которые оплатили еще в прошлом году. Но это не считая репортов, выплаты за которые провели уже в 2025 году.

CNews: С чем были связаны уязвимости?

Андрей Лёвкин: Самые популярные уязвимости можно разделить на два типа. Первый — это всевозможные XSS (прим.: cross-site scripting — межсайтовый скриптинг, уязвимость, которая позволяет злоумышленникам внедрять вредоносные скрипты в веб-приложения). Второй тип — ошибки в бизнес-логике приложений. Пожалуй, их находят чаще всего именно благодаря багбаунти, а не с помощью других инструментов анализа защищенности.

К ошибкам в бизнес-логике относятся, например, IDOR (прим.: insecure direct object references — небезопасная прямая ссылка на объект) и broken access controls (прим.: нарушенный контроль доступа). Исследователь получает доступ не к своему профилю, а к чужому или к информации, которая должна быть закрыта. Любому цифровому бизнесу важно конфиденциально обрабатывать и хранить данные пользователей. Но особенно актуально это для финансового сектора, где есть острая необходимость обеспечивать полную защиту банковских счетов.

CNews: А как защищена сама платформа?

Андрей Лёвкин: Мы подходим к безопасности комплексно. Начинаем с безопасной разработки с применением методов обнаружения уязвимостей SAST и DAST. Также наша платформа использует инструменты WAF (прим.: web application firewall — защита веб-приложений и их пользователей).

Конечно, у нас есть и собственная программа для исследований. Мы разместили ее в августе 2022 года, когда запустили платформу. Получили 140 отчетов об уязвимостях и выплатили 1,35 миллиона рублей.

«Максимальная выплата — 2,4 миллиона рублей»

CNews: Какая средняя сумма выплаты?

Андрей Лёвкин: Около 45 тысяч рублей. При этом наиболее активные багхантеры получили выплаты на сумму в несколько миллионов рублей каждый за время существования платформы. Крупные компании, такие как Сбер, «Т-Банк» и VK, предлагают исследователям высокое вознаграждение за найденные уязвимости. У государственных организаций бюджеты меньше. Большинство госструктур, кроме Минцифры, за критические уязвимости предлагает до 50 тысяч рублей. Разница в выплатах связана с тем, что многие enterprise-компании работают с багбаунти уже несколько лет. За это время они запускали дополнительные программы и неоднократно повышали выплаты. Для госсектора выход на багбаунти — относительно новый опыт, поэтому и бюджет сильно ниже.

CNews: Можете назвать максимальную сумму выплаты? От кого она была?

Андрей Лёвкин: Максимальная выплата на платформе составила 2,4 миллиона рублей за одну уязвимость. Это было вознаграждение от VK. Другая компания выплатила 1,8 миллиона рублей за отчет, в котором исследователь указал несколько уязвимостей во время нашего ивента BUGS ZONE. Это вторая по величине сумма.

Всего за 2024 год на нашей платформе вендоры выплатили 64 миллиона рублей, что почти в 2 раза больше, чем в 2023 году. Тогда исследователи получили 35 миллионов рублей.

CNews: Как быстро багхантеры получают выплаты?

Андрей Лёвкин: Наша платформа напрямую зависит от активности комьюнити, поэтому мы предлагаем багхантерам привлекательные условия. Скорость выплат — одно из наших конкурентных преимуществ. То, чем мы гордимся. Наши исследователи получают вознаграждение в кратчайшие сроки. Это мотивирует их приносить все больше и больше отчетов вендорам. Мы стимулируем активность исследователей, количество отчетов растет. И компании быстро реагируют, выплачивают вознаграждение и устраняют проблемы.

«Мы популяризируем багхантинг в России»

CNews: Давайте подробнее поговорим о комьюнити. Расскажите об исследователях, которые пользуются вашей платформой.

Андрей Лёвкин: В нашем сообществе сотни ребят, которые сдали хотя бы один отчет. Всех их можно увидеть на платформе и в нашем телеграм-канале. Но мы стараемся встречаться и офлайн. Для этого проводим BUGS ZONE — ивенты, на которых вендоры знакомятся с исследователями. Заказчики больше узнают о багхантерах: где они работают, чем увлекаются. А исследователи получают возможность лично задать интересующие их вопросы.

Обычно багхантингом занимаются исследователи, работающие на ключевых позициях в области кибербезопасности: пентестеры и аппсекеры. Есть также аудиторы из крупных компаний, специалисты по интеграции и разработчики. Их мотивирует возможность дополнительного заработка, прокачка собственных навыков и просто спортивный интерес.

CNews: А начинающим исследователям вы помогаете?

Андрей Лёвкин: У нас есть популярный канал и чат на несколько сотен человек. Это комьюнити близких к платформе исследователей, которые никогда не откажут в помощи, всегда поддержат, помогут советом. Так что к новичкам мы относимся по-настоящему дружелюбно.

Мы стараемся популяризировать багхантинг в России. Ездим в вузы и рассказываем о нем студентам. Записываем подкасты. Например, Global Digital Space запустил серию выпусков о багбаунти, и я вместе с коллегами — представителями других платформ участвовал в первом эпизоде. Рассказали об инструменте в целом и поделились прогнозами развития.

Есть совместные инициативы, например с компанией CyberED, которая занимается обучением. Еще мы выступили партнером премии Pentest Award by Awillix, где курировали номинацию «Пробив web». Так мы стараемся привлекать исследователей, которые занимаются пентестом и работают в аппсеке, но не пробовали себя в багбаунти.

CNews: Какие еще активности проводите?

Андрей Лёвкин: Если заказчик не получает подходящее, как нам кажется, количество отчетов за квартал, мы предлагаем стимулировать исследователей через совместные акции. Например, с некоторыми вендорами мы временно увеличивали вознаграждения и предлагали дополнительные бонусы или мерч тем, кто найдет самое большое количество багов или наиболее критические уязвимости за определенное время.

«В этом году увеличится количество заказчиков из госструктур и ИТ-сектора»

CNews: Как считаете, из каких отраслей будет больше всего заказчиков в 2025 году?

Андрей Лёвкин: Мы ожидаем, что в этом году увеличится количество госзаказчиков: придут не только РОИВы, но и другие госорганизации. Ждем и разработчиков программного обеспечения. Прекрасный пример — «Группа Астра», которая начала сотрудничать с нашей платформой еще в 2023 году. Компания запустила на Bi.Zone Bug Bounty уже три программы (ОС Astra Linux Special Edition, платформа управления виртуализацией VMmanager и платформа для управления IT‑инфраструктурами BILLmanager) и регулярно получает по ним отчеты.

CNews: Можете поделиться своими планами на 2025 год?

Андрей Лёвкин: Мы будем улучшать общее взаимодействие и пользовательский опыт, чтобы жизнь наших исследователей и заказчиков становилась более комфортной. Собираемся дальше развивать ивенты BUGS ZONE: планируем проводить их регулярно.

Радует, что у заказчиков есть явный запрос на сотрудничество. Они заранее уточняют, когда будет следующее мероприятие, чтобы в числе 3-4 компаний получить доступ к топовым исследователям на платформе. Конечно, мы с нетерпением ждем, когда к нам присоединятся другие организации из электронной коммерции, IT-сектора и банков. Багбаунти в России активно растет и развивается. Мы же готовы и дальше способствовать его развитию, а также в перспективе выходить на новые рынки.

Поделиться

Подписаться на новости Короткая ссылка