Mail.Ru Group объявляет о старте программы поиска уязвимостей

Mail.Ru Group объявляет о старте программы поиска уязвимостей

Мы уверены, что обратная связь — один из главных способов делать сервисы не только удобнее, но и безопаснее. Если хочешь, чтобы защита была по-настоящему эффективной, — дай проверить ее на прочность исследователям.



Mail.Ru Group объявляет о старте программы поиска уязвимостей: теперь мы будем выплачивать награды за обнаружение проблем в безопасности наших проектов. Программа будет реализовываться вместе с одним из самых авторитетных в мире хакерских коммьюнити HackerOne.

Небольшое отступление. HackerOne – это некоммерческая организация, занимающаяся вопросами кибер-безопасности. Время от времени она кооперируется с мировыми интернет-гигантами, в числе которых Microsoft и Facebook, и проводит программы поиска багов. Или, как сказано на веб-страничке HackerOne: Simply put: hack all the things, send us the good stuff, and we'll do our best to reward you (Короче говоря: взламывай все, шли нам результаты, а с нас – вознаграждение). Кстати именно через платформу Hackerone было выплачена награда хакерам, обнаружившим печально известную уязвимость Heartbleed, которая буквально на днях привела к крупнейшей в истории человечества утечке данных, сообщает habrahabr.ru.

Первым шагом реализации совместной программы Mail.Ru Group и HackerOne станет конкурс на выявление уязвимостей. Сообщения о них можно отправлять в течение месяца: с 21 апреля по 20 мая 2014 года. Затем аналитики информационной безопасности Mail.Ru Group обработают все заявки и 21 мая 2014 года назовут имена (или псевдонимы) победителей.

Трое лучших исследователей, которые найдут наиболее критичные уязвимости, получат бонусное денежное вознаграждение:
  • 1 место — 5 тыс. долларов
  • 2 место — 3 тыс. долларов
  • 3 место — 1,5 тыс. долларов

Вознаграждение также получат остальные участники конкурса. Минимальная награда за найденную уязвимость составит $150. Потолка нет — размер награды будет зависеть только от критичности обнаруженной проблемы.

За какие уязвимости можно получить награду?

Сейчас награда выплачивается за обнаружение уязвимостей на следующих веб-сервисах Mail.Ru Group:

Почта Mail.Ru
e.mail.ru
*.e.mail.ru
touch.mail.ru
*.touch.mail.ru
m.mail.ru
*.m.mail.ru

Облако Mail.Ru
cloud.mail.ru
*.cloud.mail.ru

Календарь Mail.Ru
calendar.mail.ru
*.calendar.mail.ru

Mail.Ru для бизнеса
biz.mail.ru
*.biz.mail.ru

Авторизационный центр Mail.Ru
auth.mail.ru
*.auth.mail.ru
swa.mail.ru
*.swa.mail.ru

А также в мобильных приложениях Mail.Ru Group для iOS и Android, которые так или иначе работают с личной информацией пользователей:
Почта Mail.Ru для iOS
Почта Mail.Ru для Android
Календарь Mail.Ru для Android
Облако Mail.Ru для iOS
Облако Mail.Ru для Android

Со временем к этому списку могут добавиться и другие проекты Mail.Ru Group.

Что остается за рамками нашей программы?

Если вы нашли уязвимость на одном из проектов, который не входит в список, ваша заявка тоже будет рассмотрена. В этом случае награда присуждается в индивидуальном порядке и сильно зависит от серьезности обнаруженной проблемы.

Вознаграждение не выплачивается за информацию, полученную с помощью:

  • физического взлома дата-центов или офисов Mail.Ru Group
  • взлома инфраструктуры компании
  • социальной инженерии

Проводя исследования, пожалуйста, используйте собственные аккаунты. Не пытайтесь получить доступ к чужим аккаунтам или какой-либо конфиденциальной информации.

Если вы хотите сообщить не об уязвимости, а о проблемах с доступом к аккаунту, обратитесь в нашу службу поддержки.

Уязвимость нашлась — что дальше?

А дальше необходимо багрепорт через сайт наших партнеров – сообщества HackerOne.com, где вам нужно будет создать свой аккаунт. Именно там вы сможете общаться с аналитиками информационной безопасности Mail.Ru Group, проверять статус своей заявки, получить информацию о своей награде (если она, конечно, будет присуждена именно вам), при необходимости ответить на уточняющие вопросы и так далее. 

В багрепорте нужно дать подробное описание найденной уязвимости. Еще необходимо кратко, но понятно указать, какие шаги приводят к тому, чтобы с ней столкнуться, или дать рабочее подтверждение своей концепции. Ведь если уязвимость не будет описана во всех необходимых подробностях, процесс раскрытия сильно затянется.

Также очень желательно, чтобы исследователь мог объяснить, каким именно образом он нашел ту или иную уязвимость.

В первую очередь интересны:

  • Cross-Site Scripting
  • SQL Injection
  • Remote Code Execution
  • Cross-Site Request Forgery
  • Directory Traversal
  • Information Disclosure
  • Content Spoofing
  • Clickjacking

Если вы предпочитаете сохранять свое имя в тайне, можете пользоваться псевдонимом при подаче баг-репортов.

Как рассматриваются багрепорты?

Сообщения об уязвимостях, которые нужно подавать через платформу HackerOne.com, рассматривают аналитики информационной безопасности Mail.Ru Group. В ходе оценки мы всегда представляем себе худший сценарий эксплуатации уязвимости и выплачиваем награду, исходя из размера ущерба. Чем больше ущерб, тем больше награда.

Сообщения рассматриваются в течение 15 дней (это максимальный срок — скорее всего, вы получите ответ быстрее).

Награды исследователям и обратная связь

Вся обратная связь по заявкам, а также выплаты будут осуществляться через систему проекта HackerOne.

Награда присуждается, если вы первый, кто сообщил о данной уязвимости. В противном случае вам будет предоставлен доступ к тикету с ее описанием, чтобы вы могли отслеживать статус ее исправления. 

С момента сообщения об уязвимости должно пройти не менее 3 месяцев, прежде чем вы сможете опубликовать её детали. Мы просим вас об этом, потому что нам нужно иметь достаточное количество времени, чтобы ответить вам и исправить уязвимость.

Сообщение о том, что указанная вами уязвимость подтвердилась, а также информация о присуждении награды будет появляться в вашем багрепорте. Там же могут быть заданы уточняющие вопросы, так что не забывайте проведывать свой тикет!

Итак, получить более подробную информацию о программе поиска уязвимостей Mail.Ru Group и подать заявку можно по ссылке: https://hackerone.com/mailru.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

ГК «Солар» выпустила NGFW для ретейла, МСБ и филиалов корпораций

ГК «Солар» представила новую линейку межсетевых экранов Solar NGFW — решения с меньшей производительностью, рассчитанные на защиту филиалов, удалённых офисов и небольших сетей. Новинки — это ПАКи Solar NGFW S (до 10 Гбит/с) и Solar NGFW М (до 20 Гбит/с) — подойдут как для малого и среднего бизнеса, так и для крупных компаний с распределённой инфраструктурой.

По данным самой компании, 56% российских организаций используют NGFW для защиты периметра, а 72% из них — это региональные заказчики и филиалы с типичной нагрузкой до 6 Гбит/с.

При этом стандартные решения с высокой производительностью (например, на 100 Гбит/с) для таких сценариев часто оказываются избыточными. Новые модели как раз закрывают этот сегмент.

По задумке, компактные NGFW от «Солара» могут применяться в разных отраслях. Например:

  • телеком-операторы — для защиты границ сетей в каждом филиале;
  • ретейл — для касс самообслуживания и других точек взаимодействия с клиентами;
  • добывающие и нефтегазовые компании — для защиты сетей на скважинах, станциях и перерабатывающих объектах.

Решения обеспечивают базовую фильтрацию трафика, контроль доступа, мониторинг, обнаружение угроз и защиту от атак. При этом важна не только производительность, но и устойчивость к сбоям и отказам.

Отдельно в компании подчёркивают рост атак в 2024 году: по данным Solar JSOC, доля сетевых атак удвоилась — с 14% до 27% от всех подтверждённых инцидентов. Это тоже подтолкнуло разработку решений для распределённых систем с невысокой нагрузкой.

Новые NGFW продолжают линейку продуктов, которую «Солар» активно обновляет: в 2025 году уже вышли версии 1.5 и 1.6. Среди ключевых изменений — централизованное управление, интеграции через API, автоматическое обновление сигнатур и более 26 тысяч встроенных сигнатур от центра Solar 4RAYS.

Весь стек Solar NGFW представлен как в виде виртуального решения, так и в виде ПАКов (всего 5 моделей), имеет сертификацию ФСТЭК по 4-му уровню доверия и включён в реестр отечественного ПО. Сейчас с NGFW от «Солара» работают более 100 крупных компаний, включая представителей госсектора, телекомов, нефтегаза, энергетики и промышленности.

По оценкам компании «Б1», рынок сетевой безопасности в России уже составляет около 88 млрд рублей — это 42% всего рынка ИБ-продуктов. До 2030 года ожидается рост этого направления на 15% в год, в том числе за счёт постепенного ухода от иностранных NGFW в пользу отечественных решений.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru