Positive Technologies уравнивает шансы: российские выплаты за багбаунти на уровне мировых стандартов

Positive Technologies поделилась результатами работы своей платформы Standoff 365 Bug Bounty, которая была запущена в мае 2022 года. Платформа позволяет организациям размещать свои программы по поиску уязвимостей в своих продуктах и сервисах, а также награждать исследователей, которые находят и сообщают о них.

За полтора года работы платформы количество программ выросло с 2 до 53, а размер вознаграждения варьируется от 9 тысяч до 3 миллионов рублей в зависимости от критичности уязвимости. Среди участников платформы есть организации из разных сфер деятельности, такие как IT, торговля, финансы, госсектор. Самые активные участники — IT-компании (38%), государственные учреждения (17%) и образовательные платформы (11%). Среди них — известные бренды, такие как Rambler&Co, VK, Госуслуги, «Одноклассники», «Тинькофф».

Платформа привлекла внимание 7537 исследователей, которые отправили 1479 отчетов о найденных уязвимостях. Из них 10% (152) были с критическим уровнем опасности, а 19% (287) — с высоким. Большинство уязвимостей (22%) относились к типу CWE-79, который связан с некорректной обработкой входных данных при генерировании веб-страниц и может привести к межсайтовому выполнению сценариев. Positive Technologies сравнила данные по уязвимостям, найденным на своей платформе, с данными, которые публикует одна из ведущих мировых платформ багбаунти HackerOne. HackerOne также ведет статистику по типам уязвимостей по классификации CWE (Common Weakness Enumeration) и ранжирует их по количеству отчетов с ними. Оказалось, что данные с двух платформ схожи, что свидетельствует о том, что Standoff 365 Bug Bounty поддерживает мировые тренды даже в статистике об уязвимостях инфраструктур организаций.

«Одним из наиболее значимых показателей результативности платформы является количество полученных валидных отчетов о найденных уязвимостях, — говорит менеджер по продукту Standoff 365 Анатолий Иванов. — Таковыми, как правило, считаются отчеты исследователей, которые прошли верификацию со стороны платформы и представителя программы».

Размеры вознаграждений на платформе Standoff 365 Bug Bounty зависят от компании-участника и ее бизнес-параметров, таких как доходы, масштаб, тип информации. По данным Positive Technologies, IT-компании и финансовые организации выплатили 81% всех вознаграждений, хотя их программы составляли только 44% от общего числа. Уровень выплат на зарубежных платформах сопоставим с аналогичными программами на Standoff 365 Bug Bounty. Например, на платформе HackerOne вознаграждения по ним могут составлять до 20 тыс. долл. в зависимости от компании — участника программы.

В 2023 году платформа также провела два закрытых мероприятия Standoff Hacks, на которых исследователи могли принять участие в специальных программах по поиску уязвимостей. По итогам последнего мероприятия общая сумма выплат составила 11 470 740 рублей.