ВКонтакте объявляет о глобальных обновлениях для защиты пользователей и их данных. Социальная сеть перезапускает программу обнаружения уязвимостей Bug Bounty и повышает выплаты исследователям безопасности. Особый фокус — на безопасности единого аккаунта VK ID. Обновление — часть инициативы VK Protect: она объединяет все технические решения, которые обеспечивают защиту пользователей экосистемы VK.
Перезапуск программы Bug Bounty ВКонтакте
ВКонтакте запустила программу Bug Bounty в 2015 году. Её участники исследуют безопасность социальной сети и получают выплаты за отчёты о потенциальных уязвимостях. Так компания быстрее находит ошибки и ещё лучше защищает пользователей. За пять лет ВКонтакте выплатила исследователям 352 200 $ — это больше 27 млн рублей. Они помогли обнаружить 865 уязвимостей. Вознаграждения получил 461 исследователь.
Особое внимание в обновлённой программе Bug Bounty будет уделяться VK ID — сервису единой авторизации для всех проектов экосистемы VK. С ним проще держать данные в безопасности, ведь в личном кабинете можно управлять сразу всеми подключёнными к VK ID проектами: завершать сессии, менять пароль при подозрительной активности, настраивать двухфакторную аутентификацию.
Через VK ID за пределами ВКонтакте авторизуются уже больше 51 миллиона пользователей. Чтобы дополнительно усилить их безопасность, социальная сеть выделила VK ID в отдельную категорию Bug Bounty: за найденные в сервисе уязвимости исследователи получат повышенное вознаграждение.
Сумма зависит от критичности уязвимости: чем она опаснее, тем больше может получить исследователь. Вознаграждение за обнаруженные баги вырастет на 20–50%, а на некоторые категории — в три раза. Выплаты для разного уровня угроз составят:
• низкий уровень — до 500 $;
• средний уровень — до 5 000 $;
• высокий уровень — до 10 000 $;
• критический уровень — до 20 000 $ (больше 1,5 млн рублей).
Рустэм Газизов
директор по информационной безопасности ВКонтакте
«В декабре мы объявили о запуске реформы системы безопасности и уже готовы рассказать о первых шагах. Мы подходим к вопросу безопасности комплексно: не только создаём технологические решения, но и учитываем человеческий фактор и занимаемся просвещением. Для нас также важно поддерживать комьюнити исследователей информационной безопасности — они помогают быстрее находить и закрывать уязвимости в сервисах, которыми пользуются миллионы людей».
Информационная безопасность — ключевой приоритет для VK. Компания регулярно проводит внутренний и внешний аудиты, придерживается лучших мировых практик и привлекает сторонних исследователей. Программа безопасности VK входит в топ-10 публичных программ 2020 года в рейтинге ZDNet.