Баг хантер - самой неожидаемой репутации для платформ bug bounty.
В России ожидали развития платформ и программ bug bounty, но реальность оказалась другой:
Платформа выставила себя не то, что как не готовый провайдер чувствительных услуг в сфере ИБ, а как пассивный и не квалифицированный в своей области "блокнот" для записи багрепортов и произвольного их удаления;
ЮMoney прислали отписку, да ещё и критичность уязвимости понизили;
Баг хантер с неудобной репутацией вежливо тыкает фактурой. А в ответ получает по меркам экспертов сообщества "полную шляпу", блокировку аккаунта с удалением материалов с платформы.
И как бы всё? Какой итог для участников? Что видно?
Отсутствие выстроенных процессов взаимодействия платформы с неудобными участниками;
Отсутствие выстроенных процессов управления рисками, анализа воздействия на бизнес у платформы и Дочки СБЕРА;
Отсутствие со стороны платформы требований к клиентам в части автоматизации обмена информацией, управления идентифицированными уязвимостями, управления коммуникациями;
Крайне вероятно, что затронет не только этих участников:
1. Высокие репутационные риски как программы баг баунти в России, так и платформы https://bugbounty.ru/
Программа баг баунти совсем сырая. Другим платформам возвращать доверие будет крайне тяжело;
Неудобные участники программы с высокой квалификацией предпочтут конвертацию уязвимостей в валюту на хакерских платформах. Тем более на чувствительные данные сейчас повышенный спрос у наших недружественных "партнёров";
Риски ИБ повышают свою вероятность наступления. Стоимость рисков увеличивается.
Головотяпство, отсутствие управленческих компетенций и системной работы.
Очень интересное событие в котором сплелись самые незаурядные участники:
Известная платформа https://bugbounty.ru/;
СБЕР - Крупнейший игрок фин.сектора
Дочка СБЕРА: ЮMoney - клиент платформы
Баг хантер - самой неожидаемой репутации для платформ bug bounty.
В России ожидали развития платформ и программ bug bounty, но реальность оказалась другой:
Платформа выставила себя не то, что как не готовый провайдер чувствительных услуг в сфере ИБ, а как пассивный и не квалифицированный в своей области "блокнот" для записи багрепортов и произвольного их удаления;
ЮMoney прислали отписку, да ещё и критичность уязвимости понизили;
Баг хантер с неудобной репутацией вежливо тыкает фактурой. А в ответ получает по меркам экспертов сообщества "полную шляпу", блокировку аккаунта с удалением материалов с платформы.
И как бы всё? Какой итог для участников? Что видно?
Отсутствие выстроенных процессов взаимодействия платформы с неудобными участниками;
Отсутствие выстроенных процессов управления рисками, анализа воздействия на бизнес у платформы и Дочки СБЕРА;
Отсутствие со стороны платформы требований к клиентам в части автоматизации обмена информацией, управления идентифицированными уязвимостями, управления коммуникациями;
Крайне вероятно, что затронет не только этих участников:
1. Высокие репутационные риски как программы баг баунти в России, так и платформы https://bugbounty.ru/
Программа баг баунти совсем сырая. Другим платформам возвращать доверие будет крайне тяжело;
Неудобные участники программы с высокой квалификацией предпочтут конвертацию уязвимостей в валюту на хакерских платформах. Тем более на чувствительные данные сейчас повышенный спрос у наших недружественных "партнёров";
Риски ИБ повышают свою вероятность наступления. Стоимость рисков увеличивается.
Головотяпство, отсутствие управленческих компетенций и системной работы.