Конкурс стал первой инициативой подобного рода в истории Mail. Ru Group. Он распространялся на поиск потенциальных проблем с безопасностью в Почте, Облаке, Календаре и их мобильных приложениях для iOS†и†Android, а также в Авторизационном центре Mail. Ru. Однако к рассмотрению также принимались интересные баги, выявленные в других проектах компании. Один из них даже удостоился специального приза.
Трое победителей, обнаруживших самые ценные баги, объявлены на платформе партнера конкурса — авторитетного международного хакерского сообщества HackerOne (http://hackerone. com/mailru). Победитель, выявивший наиболее критичную уязвимость, получит 5 000 долларов, выплаты за второе и третье места составят 3 000 и 1 500 долларов соответственно. Также был присужден специальный приз в 2 тысячи долларов. Кроме того, сумма, эквивалентная 30% всех вознаграждений, уйдет в фонд HackerOne на выплату премий за уязвимости, найденные в ПО с открытым кодом.
HackerOne был выбран в качестве площадки для проведения программы не случайно. Это некоммерческая организация, занимающаяся вопросами кибер-безопасности. Среди ее сооснователей — ведущие мировые эксперты в этой области. Одна из крупных инициатив, проводящихся на площадке, — поиск уязвимостей в популярном ПО с открытым кодом. Кстати, именно через платформу Hackerone была выплачена награда хакерам, обнаружившим печально известную уязвимость Heartbleed, которая недавно привела к крупнейшей в истории человечества утечке данных. Партнерство с HackerOne обеспечивает инициативе Mail. Ru Group международный охват и позволяет участникам подавать заявки на анонимной основе.
«Проведение конкурсов на выявление уязвимостей — общемировая практика в IT-индустрии. Это и неудивительно, ведь сложности у крупных игроков примерно одинаковые: множество проектов, отделов и команд разработчиков. В домене mail. ru, например, на текущий момент находятся более пятидесяти различных проектов, в разработке которых участвует десятки независимых, хотя и взаимодействующих команд, присоединившихся к компании в разное время. Бывают разовые проекты, создающиеся под определенное событие. А еще у нас есть проекты партнеров со своим кодом, администрированием и поддержкой, — комментирует вице-президент Mail. Ru Group Анна Артамонова, руководитель бизнес-подразделения Почта и портал. — Конкурс bug bounty стал серьезной проверкой для наших сервисов, и мы достойно ее выдержали».
Основной задачей конкурса была оценка качества работы, проделанной в области усиления информационной безопасности Mail. Ru. Среди новых способов защиты пользовательских данных, внедренных за последний год, — технология HTTP only cookie, использование Secure Cookie, content security policy и разделение†пользовательскихсессий при доступе к различнымпроектам единогоинформационногопортала Mail. Ru. Именно последнее сделало ключевые проекты Mail. Ru неуязвимыми для недавней атаки Heartbleed, от которой пострадали крупнейшие почтовые сервисы мира.Начиная с мая 2014 года, конкурс Mail. Ru Group на выявление уязвимостей трансформируется в постоянно действующую программу. Минимальный размер премии составит 100 долларов. Объем вознаграждения за наиболее интересные и ценные для компании баги будет варьироваться в пределах от 5 000 до 10 000 долларов.
