PayPal заплатит за выявление ошибок и уязвимостей в собственной системе

Максим Пушкарь 01 Июля 2012 - 22:55

Средства защиты веб-сайтов (приложений)

Средства поиска уязвимостей

Уязвимости программ

...

PayPal решила присоединиться к постоянно растущему числу компаний, предлагающих денежное вознаграждение за выявление ошибок и уязвимостей в собственных системах. По словам главного директора по защите информации PayPal Майкла Барета, PayPal внесла изменения в существующую программу уведомления об ошибках и уязвимостях, и будет выдавать денежное вознаграждение за такие уведомления. Ранее подобную систему вознаграждений за «отлов» ошибок и уязвимостей ввели Google, Facebook,Mozilla, Samsung и ряд других компаний. По словам Барета, подобные программы достаточно эффективны и позволяют выявить намного больше потенциально опасных проблем, так как в процесс вовлекается множество сторонних специалистов.

По условиям программы, при выявлении какой-либо ошибки или уязвимости, выявивший ее специалист должен отправить уведомление о найденной ошибке/уязвимости в PayPal, используя существующую систему уведомлений и шифрование при помощи PGP ключа. Затем специалисты PayPal определят, к какой из четырех категорий относится данное уведомление.

- XSS (Cross Site Scripting),

- CSRF (Cross Site Request Forgery),

- SQL Injection,

- Authentication Bypass

Также будет определяться степень угрозы. А затем разработчики PayPal устранят проблему, после чего обнаружившему ее специалисту PayPal выплатит определенную сумму, конечно же, посредством PayPal.

Следует отметить, что PayPal не разглашает сумму вознаграждения. В тоже время, по информации компании Sophos, Google увеличила максимальную сумму вознаграждения с $3133 до $20000. А также ввела специальную премию в размере $10000 за обнаружение внедрения SQL-кода, попытки обхода системы верификации пользователей и других серьезных уязвимостей.

В 2010 году Mozilla увеличила сумму вознаграждения за обнаружение серьезных ошибок и уязвимостей в ее продуктах до $3000 за каждую.

В свою очередь, Facebook выплачивает сумму не менее $500 за уведомление об уязвимостях в безопасности системы. По словам руководителя службы безопасности Facebook Джо Саливана, только за три недели, с момента введения системы вознаграждений, компания выплатила более $40000.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 16 Июля 2025 - 16:24

Брутфорс Целевые атаки Таргетированные атаки Государство Парольная защита (пароли)

Почти половина веб-атак на госорганизации — это попытки подбора паролей

С начала 2025 года самой распространённой веб-угрозой для госсектора стал брутфорс — атаки на учётные записи путём подбора паролей. По данным компании «Вебмониторэкс», такие попытки взлома составили почти 50% всех веб-атак на госструктуры за первые шесть месяцев года.

Госсектор — единственная отрасль, где подобные атаки стабильно занимают первое место.

Причём речь идёт в основном не о простом переборе паролей из словаря, а о credential stuffing — когда злоумышленники используют уже скомпрометированные логины и пароли, утекшие с других сайтов и сервисов. Эти данные загружаются в специальные программы и массово прогоняются через форму авторизации. Такие атаки часто идут с тысяч разных IP-адресов.

Всего за первое полугодие 2025 года было зафиксировано почти 600 миллионов веб-атак на российские организации. В среднем на одну госструктуру приходилось около миллиона атак.

В исследовании проанализированы данные более 170 крупных организаций из разных отраслей — от госсектора и ИТ до ритейла, финансов, здравоохранения и промышленности.

Как поясняет генеральный директор компании Анастасия Афонина, у большинства граждан есть аккаунты на госпорталах, но лишь немногие всерьёз задумываются о безопасности. Многие используют одни и те же пароли на разных сайтах и годами не меняют их. Учитывая частые утечки данных в последние годы, это серьёзно повышает риски. Взлом аккаунта может привести не только к краже личных данных, но и к более серьёзным последствиям — например, оформлению кредита или проведению сделки от имени пользователя.

Кроме того, целью атак могут быть и служебные учётные записи — в этом случае под угрозой оказывается уже не личная, а конфиденциальная или даже секретная информация. А если удастся получить доступ к аккаунту администратора, последствия могут быть критическими.

Чтобы защититься от таких атак, эксперты советуют:

включать двухфакторную аутентификацию;
ограничивать число попыток входа;
использовать сложные пароли и регулярно их менять;
не хранить рабочие пароли на личных устройствах;
использовать защитные решения на уровне веб-приложений, способные отфильтровывать подозрительный трафик и массовые попытки подбора пароля.

Обычным пользователям также рекомендуют пользоваться менеджерами паролей — так проще хранить и использовать сложные комбинации, не запоминая их.