PayPal заплатит за выявление ошибок и уязвимостей в собственной системе

Максим Пушкарь 01 Июля 2012 - 22:55

Средства защиты веб-сайтов (приложений)

Средства поиска уязвимостей

Уязвимости программ

...

PayPal решила присоединиться к постоянно растущему числу компаний, предлагающих денежное вознаграждение за выявление ошибок и уязвимостей в собственных системах. По словам главного директора по защите информации PayPal Майкла Барета, PayPal внесла изменения в существующую программу уведомления об ошибках и уязвимостях, и будет выдавать денежное вознаграждение за такие уведомления. Ранее подобную систему вознаграждений за «отлов» ошибок и уязвимостей ввели Google, Facebook,Mozilla, Samsung и ряд других компаний. По словам Барета, подобные программы достаточно эффективны и позволяют выявить намного больше потенциально опасных проблем, так как в процесс вовлекается множество сторонних специалистов.

По условиям программы, при выявлении какой-либо ошибки или уязвимости, выявивший ее специалист должен отправить уведомление о найденной ошибке/уязвимости в PayPal, используя существующую систему уведомлений и шифрование при помощи PGP ключа. Затем специалисты PayPal определят, к какой из четырех категорий относится данное уведомление.

- XSS (Cross Site Scripting),

- CSRF (Cross Site Request Forgery),

- SQL Injection,

- Authentication Bypass

Также будет определяться степень угрозы. А затем разработчики PayPal устранят проблему, после чего обнаружившему ее специалисту PayPal выплатит определенную сумму, конечно же, посредством PayPal.

Следует отметить, что PayPal не разглашает сумму вознаграждения. В тоже время, по информации компании Sophos, Google увеличила максимальную сумму вознаграждения с $3133 до $20000. А также ввела специальную премию в размере $10000 за обнаружение внедрения SQL-кода, попытки обхода системы верификации пользователей и других серьезных уязвимостей.

В 2010 году Mozilla увеличила сумму вознаграждения за обнаружение серьезных ошибок и уязвимостей в ее продуктах до $3000 за каждую.

В свою очередь, Facebook выплачивает сумму не менее $500 за уведомление об уязвимостях в безопасности системы. По словам руководителя службы безопасности Facebook Джо Саливана, только за три недели, с момента введения системы вознаграждений, компания выплатила более $40000.

Следующая главная новость »

Защита данных от утечек: что сегодня реально работает?
Регистрируйтесь на эфир!

Екатерина Быстрова 11 Марта 2026 - 13:58

Соответствие законодательству РФ Корпорации Государство Средства криптографической защиты информации Защита критически важных объектов Соответствие требованиям регуляторов ГК «Солар»

ЗАСТАВА 8 получила веб-управление и сертификацию ФСБ для ГИС и КИИ

ГК «Солар» сообщила об обновлении линейки средств криптографической защиты информации «ЗАСТАВА» до версии 8. Решение сертифицировано ФСБ России и рассчитано в первую очередь на операторов государственных информационных систем и объектов критической информационной инфраструктуры, для которых требования к защите каналов связи особенно жёсткие.

Речь идёт о средствах защиты сетевых соединений и удалённого доступа, которые должны одновременно соответствовать требованиям регуляторов, обеспечивать надёжное шифрование и не ломать уже существующую инфраструктуру.

В компании подчёркивают, что новая версия построена на сочетании российских алгоритмов ГОСТ и международного стандарта IPsec, а сама линейка готова к использованию без дополнительной глубокой перестройки сети.

Отдельный акцент в версии 8 сделан на управлении. Если раньше для настройки VPN-шлюзов требовался так называемый «толстый» клиент с жёсткой привязкой к рабочему месту администратора, то теперь управление вынесено в веб-интерфейс.

Через систему «ЗАСТАВА-Управление» можно централизованно настраивать политики безопасности, обновлять программное обеспечение и управлять ключами для большого числа устройств из одной консоли.

По сути, это означает более удобное администрирование для распределённых инфраструктур. В компании считают, что такой подход позволяет сократить трудозатраты и уменьшить эксплуатационные расходы, в том числе за счёт отказа от части выездных работ в филиалы. По оценке разработчика, снижение совокупной стоимости владения может достигать 15%.

В технической части у решения заявлены механизмы автоматической балансировки нагрузки между криптошлюзами и два режима кластеризации — Active-Passive и Active-Active. Первый нужен для отказоустойчивости при сбоях оборудования, второй — для распределения нагрузки, например, при подключении большого числа удалённых пользователей. В версии 8 количество управляемых объектов, как утверждается, архитектурно не ограничено, поэтому линейка рассчитана как на сравнительно небольшие инсталляции, так и на крупные распределённые сети.

Ещё одна важная деталь — обратная совместимость. Новые устройства могут работать в одной сети с уже установленными, поэтому переход на новую версию можно проводить поэтапно, без полной одномоментной замены оборудования и без остановки бизнес-процессов.

Защита данных от утечек: что сегодня реально работает?
Регистрируйтесь на эфир!