Компания
1 684,14
рейтинг
21 апреля 2014 в 12:23

Разработка → Mail.Ru Group объявляет о старте программы поиска уязвимостей

Мы уверены, что обратная связь — один из главных способов делать сервисы не только удобнее, но и безопаснее. Если хочешь, чтобы защита была по-настоящему эффективной, — дай проверить ее на прочность исследователям.

Mail.Ru Group объявляет о старте программы поиска уязвимостей: теперь мы будем выплачивать награды за обнаружение проблем в безопасности наших проектов. Программа будет реализовываться вместе с одним из самых авторитетных в мире хакерских коммьюнити HackerOne.




Небольшое отступление. HackerOne – это некоммерческая организация, занимающаяся вопросами кибер-безопасности. Время от времени она кооперируется с мировыми интернет-гигантами, в числе которых Microsoft и Facebook, и проводит программы поиска багов. Или, как сказано на веб-страничке HackerOne: Simply put: hack all the things, send us the good stuff, and we'll do our best to reward you (Короче говоря: взламывай все, шли нам результаты, а с нас – вознаграждение). Кстати именно через платформу Hackerone было выплачена награда хакерам, обнаружившим печально известную уязвимость Heartbleed, которая буквально на днях привела к крупнейшей в истории человечества утечке данных.

Первым шагом реализации совместной программы Mail.Ru Group и HackerOne станет конкурс на выявление уязвимостей. Сообщения о них можно отправлять в течение месяца: с 21 апреля по 20 мая 2014 года. Затем аналитики информационной безопасности Mail.Ru Group обработают все заявки и 21 мая 2014 года назовут имена (или псевдонимы) победителей.

Трое лучших исследователей, которые найдут наиболее критичные уязвимости, получат бонусное денежное вознаграждение:
  • 1 место — 5 тыс. долларов
  • 2 место — 3 тыс. долларов
  • 3 место — 1,5 тыс. долларов


Вознаграждение также получат остальные участники конкурса. Минимальная награда за найденную уязвимость составит $150. Потолка нет — размер награды будет зависеть только от критичности обнаруженной проблемы.

За какие уязвимости можно получить награду?


Сейчас награда выплачивается за обнаружение уязвимостей на следующих веб-сервисах Mail.Ru Group:

Почта Mail.Ru
e.mail.ru
*.e.mail.ru
touch.mail.ru
*.touch.mail.ru
m.mail.ru
*.m.mail.ru

Облако Mail.Ru
cloud.mail.ru
*.cloud.mail.ru

Календарь Mail.Ru
calendar.mail.ru
*.calendar.mail.ru

Mail.Ru для бизнеса
biz.mail.ru
*.biz.mail.ru

Авторизационный центр Mail.Ru
auth.mail.ru
*.auth.mail.ru
swa.mail.ru
*.swa.mail.ru

А также в мобильных приложениях Mail.Ru Group для iOS и Android, которые так или иначе работают с личной информацией пользователей:
Почта Mail.Ru для iOS
Почта Mail.Ru для Android
Календарь Mail.Ru для Android
Облако Mail.Ru для iOS
Облако Mail.Ru для Android

Со временем к этому списку могут добавиться и другие проекты Mail.Ru Group.

Что остается за рамками нашей программы?


Если вы нашли уязвимость на одном из проектов, который не входит в список, ваша заявка тоже будет рассмотрена. В этом случае награда присуждается в индивидуальном порядке и сильно зависит от серьезности обнаруженной проблемы.

Вознаграждение не выплачивается за информацию, полученную с помощью:
  • физического взлома дата-центов или офисов Mail.Ru Group
  • взлома инфраструктуры компании
  • социальной инженерии


Проводя исследования, пожалуйста, используйте собственные аккаунты. Не пытайтесь получить доступ к чужим аккаунтам или какой-либо конфиденциальной информации.

Если вы хотите сообщить не об уязвимости, а о проблемах с доступом к аккаунту, обратитесь в нашу службу поддержки.

Уязвимость нашлась — что дальше?


А дальше необходимо багрепорт через сайт наших партнеров – сообщества HackerOne.com, где вам нужно будет создать свой аккаунт. Именно там вы сможете общаться с аналитиками информационной безопасности Mail.Ru Group, проверять статус своей заявки, получить информацию о своей награде (если она, конечно, будет присуждена именно вам), при необходимости ответить на уточняющие вопросы и так далее.

В багрепорте нужно дать подробное описание найденной уязвимости. Еще необходимо кратко, но понятно указать, какие шаги приводят к тому, чтобы с ней столкнуться, или дать рабочее подтверждение своей концепции. Ведь если уязвимость не будет описана во всех необходимых подробностях, процесс раскрытия сильно затянется.

Также очень желательно, чтобы исследователь мог объяснить, каким именно образом он нашел ту или иную уязвимость.

В первую очередь интересны:
  • Cross-Site Scripting
  • SQL Injection
  • Remote Code Execution
  • Cross-Site Request Forgery
  • Directory Traversal
  • Information Disclosure
  • Content Spoofing
  • Clickjacking

Если вы предпочитаете сохранять свое имя в тайне, можете пользоваться псевдонимом при подаче баг-репортов.

Как рассматриваются багрепорты?


Сообщения об уязвимостях, которые нужно подавать через платформу HackerOne.com, рассматривают аналитики информационной безопасности Mail.Ru Group. В ходе оценки мы всегда представляем себе худший сценарий эксплуатации уязвимости и выплачиваем награду, исходя из размера ущерба. Чем больше ущерб, тем больше награда.

Сообщения рассматриваются в течение 15 дней (это максимальный срок — скорее всего, вы получите ответ быстрее).

Награды исследователям и обратная связь


Вся обратная связь по заявкам, а также выплаты будут осуществляться через систему проекта HackerOne.

Награда присуждается, если вы первый, кто сообщил о данной уязвимости. В противном случае вам будет предоставлен доступ к тикету с ее описанием, чтобы вы могли отслеживать статус ее исправления.

С момента сообщения об уязвимости должно пройти не менее 3 месяцев, прежде чем вы сможете опубликовать её детали. Мы просим вас об этом, потому что нам нужно иметь достаточное количество времени, чтобы ответить вам и исправить уязвимость.

Сообщение о том, что указанная вами уязвимость подтвердилась, а также информация о присуждении награды будет появляться в вашем багрепорте. Там же могут быть заданы уточняющие вопросы, так что не забывайте проведывать свой тикет!

Итак, получить более подробную информацию о программе поиска уязвимостей Mail.Ru Group и подать заявку можно по ссылке: https://hackerone.com/mailru.
Автор: @invented

Комментарии (45)

  • НЛО прилетело и опубликовало эту надпись здесь
    • –1
      В голове невольно сформировался TOP 2 ответов на репорты о багах:
      1. Нам уже сообщили про эту уязвимость.
      2. Это не баг, это фича такая.

      Даже за 150$ баксов придется побороться :)
      • 0
        Можем предоставить пруфы прямо там в тасках :) За вчерашний день было около 600 репортов со всего мира, и дубликатов и правда очень много.
      • 0
        Мне уже подтвердлили, что найденная мной вещь в андроид приложении — это уязвимость. Правда оговорились, что ещё не ясно попала ли она под эту программу поиска уязвимостей
  • +8
    Отлично! Только можно вас попросить, после того, как уязвимости будут найдены и пофиксены, сделать большой пост о том, что и как вы пофиксили?

    Я думаю это будет интересно всем Хабражителям, вдруг у нас тоже есть похожие дыры, а мы о них не знаем? :)
    • +9
      Да, безусловно, по итогам месяца мы обязательно расскажем об этом, с примерами и историями :)
      Более того, по нашим правилам и правилам HackerOne, после того как баг был закрыт, по истечении 2-3 месяцев его можно «открыть в мир», и кто угодно может рассказать о нём, затвитить, зашарить и т.п.
      • +1
        Более того, по нашим правилам и правилам HackerOne, после того как баг был закрыт, по истечении 2-3 месяцев его можно «открыть в мир», и кто угодно может рассказать о нём

        В посте немного иначе сказано:
        С момента сообщения об уязвимости должно пройти не менее 3 месяцев, прежде чем вы сможете опубликовать её детали.

        Уточните, пожалуйста, этот момент. Если сообщение было отправлено, но уязвимость так и не была закрыта, можно ли обнародовать её детали?
        • +2
          Если мы не закрыли уязвимость в течении трёх месяцев — да, это ваше право. Но в этом случае награды не будет :( Мы всегда просим учитывать тот факт, что не все уязвимости в рамках большой компании можно закрыть за этот срок. Например, если уязвимость касается взаимодействия десятков подразделений, то срок исправления может доходить и до полугода.

          В случае если мы закрыли уязвимость и видим что в её раскрытии нет ничего плохого, то три месяца ждать не имеет смысла. И дальше вы впринципе в любое время можете надавить кнопку «Раскрыть уязвимость» и она опубликуется на hackerone автоматически.
  • +7
    С почином!
    • 0
      Спасибо. Индусов и китайцев — тьма! Мы сейчас их количество на себе ощущаем) Это что-то нереальное.
      У вас сколько полезных репортов в день от них?
      • 0
        Сначала будет очень тяжело — в первое время были десятки «мусорных» репортов в день. Сейчас довольно мало репортов вообще.
        • 0
          В первой полусотне вообще реальных багов нет :(
          • 0
            Не переживай, майские праздники на носу — ребята подтянутся ;)
            • 0
              Пьяные.
      • +1
        Особенно круто будет когда угрожать начнут раскрыть уязвимость и тогда нас задефейсят (через кликджекинг на статике). У нас даж с матом было) И даже Элопу писали) Много лулзов словите.
  • 0
    У вас, да и не только у вас, существует одна очень серьезная уязвимость в секретных вопросах для восстановления пароля, не знаю, как сейчас, но раньше в списках стандартных вопросах были: «Девичья фамилия матери», «Почтовый индекс родителей» и т.д. Очевидно, что для злоумышленника в большинстве случаев не составляет никакого труда узнать эти данные, просто заглянув например в «Одноклассники». Круче только рамблер с его вопросами: «Ваше любимое число» и «Любимый цвет» — что угадывается на раз-два. Предлагаю отфильтровать пользователей с такими стандартными вопросами и предложить им поменять их.
    • 0
      Мы вообще постепенно отказываемся от восстановление через секретный вопрос.
    • 0
      Ну вот, вы лишили кучу народа 150 долларов;)
  • +6
    Вознаграждение не выплачивается за информацию, полученную с помощью:
    социальной инженерии


    Прискорбно видеть, что социальная инженерия перестала рассматриваться как потенциальная брешь в безопасности компании, а ведь именно с помощью неё идет очень большое количество заражений вирусами, с помощью неё взламываются системы, где с технической точки зрения все защищено. И зачастую с помощью социальной инженерии проще получить нужные данные, чем искать уязвимости в конечном продукте.
    • +2
      Вы правы. Но программа в первую очередь нацелена на повышение безопасности наших продуктов и пользователей, а социальная инженерия — это уже ближе к безопасности самой компании, её сотрудников и ей заняты совершенно другие люди. То же самое с физической безопасностью.
      • 0
        Физической? Хм. Уберу гранатомёт обратно, а так хотелось приз.
  • 0
    >Потолка нет — размер награды будет зависеть только от критичности обнаруженной проблемы.
    >1 место — 5 тыс. долларов

    Итого к примеру возможно получить 10000 + бонус 5000?
    • 0
      Да, вполне, если уязвимость будет входить в scope и окажется нереально крутой )
  • 0
    Ну хорошо, я отписал жду ответа. А кто будет тестировать и исправлять уязвимости? №8499 Обратите наконец внимание!
    • 0
      Спасибо за репорт! У нас сейчас вал репортов от братских народов(индусов и китайцев) :) Мы обязательно ответим на ваш репорт в течении 1-2 дней. В будущем, постараемся отвечать в течении нескольких часов.
      • +1
        Там на разбор 3 минуты, я написал по русски и весело. Просто обидно уязвимость существует давно и не только на вашем сервисе я бы назвал «новый» подвид xss через xss.
  • +3
    Неожиданно даже
    • 0
      Стараемся Егор)
      Разбирал тут недавно твою багу с FB Oauth redirect_uri, и пытался проэксплуатировать пару приложений.
      Правильно ли я понимаю, что все популярные прилады уже пофиксились в настройках?
      • 0
        >Правильно ли я понимаю, что все популярные прилады уже пофиксились в настройках?

        вовсе нет, абсолютное большинство не ставит статичный редирект ури так что уязвимо большинство до сих пор.
  • 0
    Зря вы релизнулись на той платформе, от индусов у вас будет минимум полезных репортов, а потом еще куча ответов на них из разряда «Пачэму ета ни баааг??».
    • 0
      Мы верим в то, что братские народы — это временное явление)

      А H1 нам понравился за то, что ребята берут на себя все обязательства перед security researcher-ами касаемые сроков и методов оплаты, принимают баги в удобной для нас и репортеров форме + исповедуют правильную, на наш взгляд, философию.
      Я просто сам принимал участие в такого рода программах, и поэтому не хочу заставлять репортеров мучиться с почтовой перепиской, отсылать сканы паспортов, СНИЛС-ы и ждать оплаты по полгода :)
      • 0
        а на ОК то требовали :(
  • –6
    Mail.ru — это и есть одна большая уязвимость.
    • +14
      Challenge accepted, ждём ваши репорты на H1 ;)
  • 0
    На русском писать можно?
    • +1
      Да, конечно + уже скоро там интерфейс русифицируется.
  • 0
    Вопрос к пользователям хабрахабра, вот мне не верят, если в самом способе аутентификации пользователя есть баг и я могу залоснится любым пользователем и увести куки с любого сайта где есть авторизация через auth.mail.ru это баг со стороны сайта или со стороны mail.ru? Мне говорят, это фича ищите баг на нашем сервисе.
    • 0
      Ты же понимаешь что тебе не ответят на такой абстрактный вопрос?)
      • 0
        Надеюсь прецеденты есть о которых я не знаю? Да и взлом он всегда абстрактный и основан на догадках, для того он и взлом.
        • 0
          Ну, наверно, если сам модуль авторизации, в каком бы виде он не встраивался в сайт уязвим к тому, что позволяет авторизоваться на том конкретном сайте без знания пользовательских данных (как ты выразился — залогиниться под любым пользователем), то скорее всего бага присутствует, если конечно она не вызвана кривым использованием самого модуля авторизации. С другой стороны, формально, если это бага не на их поддомене-домене, то они могут и не принять. Опять же, я все это говорю, не зная что за бага и с чем ее едят, и есть ли она вообще.
    • 0
      Давайте обсудим прямо тут :) Хотя лучше бы в тикете

      Судя по вашему репорту, а начинается он так: «Берем любой сервис где существует авторизация через соц. кнопку ищем xss в любой форме»,
      Ваш вектор выглядит так:
      1) Находим XSS на сервисе, где установлена кнопка авторизации при помощи Mail.Ru
      2) Авторизуем пользователя на этом сайте при помощи кнопки авторизации и найденной XSS
      3) Крадём куки уязвимого сервиса.

      Вопрос, как это аффектит нас или наших пользователей?) Если я не прав, и у вас есть PoC — то велкам в тикет на HackerOne :)
      • +1
        Если убрать кнопку, то и уязвимости не будет! Фишка в том, что если у меня в браузере есть куки с mail.ru то просто переходя куда угодно (где есть ваша кнопка) я могу сливать куки любых сайтов. Во главе пирамиды стоите вы! Значит и уязвимость ваша.
        • –1
          Понял, тогда вэлкам в тикет, обьяснять ещё раз как оно работает :)
  • –1
    О собственной безопасности вы начали заботиться, молодцы, а о безопасности пользователей когда начнёте заботиться? Когда прекратите на каждом шагу втюхивать свой троян «Спутник Mail.ru»? Хотя о чём это я?.. лемминги хавают.
    • +2
      Мы — заботимся о безопасности пользователей. Но к сожалению, или к счастью, мы — это совершенно другая команда, которая занимается информационной безопасностью наших проектов и точно так-же как и вы переживает и страдает в войне дистрибуции между компаниями.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое Разработка