ВКонтакте масштабирует Bug Bounty в рамках глобальной программы защиты данных VK Protect: исследователи безопасности получат до 1,5 млн рублей
Багхантерам выплатят до 20 000$ за каждую найденную уязвимость. Особый фокус — на безопасности единого аккаунта VK ID.
ВКонтакте объявляет о глобальных обновлениях для защиты пользователей и их данных. Социальная сеть перезапускает программу обнаружения уязвимостей Bug Bounty и повышает выплаты исследователям безопасности, а также делает двухфакторную аутентификацию обязательной для администраторов сообществ, в которых больше 10 тысяч подписчиков. Обновления — часть инициативы VK Protect: она объединяет все технические решения, которые обеспечивают защиту пользователей экосистемы VK.
Перезапуск программы Bug Bounty ВКонтакте
ВКонтакте запустила программу Bug Bounty в 2015 году. Её участники исследуют безопасность социальной сети и получают выплаты за отчёты о потенциальных уязвимостях. Так компания быстрее находит ошибки и ещё лучше защищает пользователей. За пять лет ВКонтакте выплатила исследователям 352 200$ — это больше 27 млн рублей. Они помогли обнаружить 865 уязвимостей. Вознаграждения получил 461 исследователь.
Особое внимание в обновлённой программе Bug Bounty будет уделяться VK ID — сервису единой авторизации для всех проектов экосистемы VK. С ним проще держать данные в безопасности, ведь в личном кабинете можно управлять сразу всеми подключёнными к VK ID проектами: завершать сессии, менять пароль при подозрительной активности, настраивать двухфакторную аутентификацию.
Через VK ID за пределами ВКонтакте авторизуются уже больше 51 миллиона пользователей. Чтобы дополнительно усилить их безопасность, социальная сеть выделила VK ID в отдельную категорию Bug Bounty: за найденные в сервисе уязвимости исследователи получат повышенное вознаграждение.
Сумма зависит от критичности уязвимости: чем она опаснее, тем больше может получить исследователь. Вознаграждение за обнаруженные баги вырастет на 20-50%, а на некоторые категории — в три раза. Выплаты для разного уровня угроз составят:
• низкий уровень — до 500 $;
• средний уровень — до 5 000 $;
• высокий уровень — до 10 000 $;
• критический уровень — до 20 000 $ (больше 1,5 млн рублей).
Двухфакторная аутентификация в сообществах
ВКонтакте сделала обязательной двухфакторную аутентификацию для администраторов пабликов с более чем 10-тысячной аудиторией. Таких сообществ на площадке сейчас более 140 тысяч. Подтверждение входа дополнительно защитит профили руководителей сообществ, помешает посторонним получить доступ к пабликам и навредить подписчикам.
Рустэм Газизов, директор по информационной безопасности ВКонтакте:
«В декабре мы объявили о запуске реформы системы безопасности и уже готовы рассказать о первых шагах. Введение обязательной двухфакторной аутентификации для администраторов средних и крупных сообществ позволит им реже попадаться на уловки злоумышленников. Мы подходим к вопросу безопасности комплексно: не только создаём технологические решения, но и учитываем человеческий фактор и занимаемся просвещением. Для нас также важно поддерживать комьюнити исследователей информационной безопасности — они помогают быстрее находить и закрывать уязвимости в сервисах, которыми пользуются миллионы людей».
Информационная безопасность — ключевой приоритет для VK. Компания регулярно проводит внутренний и внешний аудиты, придерживается лучших мировых практик и привлекает сторонних исследователей. Программа безопасности VK входит в топ-10 публичных программ 2020 года в рейтинге ZDNet.