Компания Positive Technologies заплатит 60 миллионов рублей «белым» хакерам в рамках программы по поиску уязвимостей в своей системе защиты — вознаграждение полагается тому, кто первый сможет внедрить условно вредоносный код в ее продукты, сообщили РИА Новости в компании.
«Positive Technologies непрерывно совершенствует свой подход к результативной кибербезопасности: в программу багбаунти Positive Dream Hunting добавлено второе недопустимое для компании событие. Первый, кто сможет внедрить условно вредоносный код в продукты вендора, получит вознаграждение в 60 миллионов рублей», — говорится в сообщении.
Для того, чтобы получить вознаграждение, хакер должен разместить условно вредоносную рабочую сборку с потенциально зловредным кодом на внутреннем сервере обновлений компании либо на ее публичных серверах. Нужно также предоставить доказательства того, что ее можно сделать доступной для скачивания, а именно — скриншот с необходимыми правами.
Если хакер выполнит один или несколько шагов до потенциальной реализации недопустимого события, ему тоже выплатят вознаграждение. Например, за преодоление сетевого периметра и закрепление на узле компании можно будет получить 300-500 тысяч рублей, а за внедрение кода в публичный релиз продукта на этапе хранения или тестирования — 3-5 миллионов рублей.
«Запуск программы багбаунти, ориентированной на недопустимые события, — это серьезный шаг для компании. Однако это единственный способ для ее CISO и топ-менеджмента на деле убедиться в эффективности выстроенной системы защиты», — прокомментировал директор экспертного центра безопасности Positive Technologies Алексей Новиков.
Кроме этого, компания увеличила выплаты за реализацию первого недопустимого события — кражи денег со счетов компании — с 30 до 60 миллионов рублей.
Positive Technologies запустила программу багбаунти в ноябре 2022 года, компания предлагала за вознаграждение в 10 миллионов рублей осуществить первое потенциальное критически опасное событие — похитить деньги с ее счетов. В апреле 2023 года размер награды утроили — до 30 миллионов рублей. «До сих пор исполнить сценарий полностью, включая финальный этап кражи, никто не смог» — отметили в компании.