За первый день проходящего в канадском Ванкувере хакатона Pwn2Own белые хакеры заработали более $730 тыс., обнаружив уязвимости в ПО от Google, Apple, Microsoft, Adobe и других разработчиков.

Источник изображения: Pete Linforth / pixabay.com

Этичные хакеры нашли уязвимости в ПО Tesla, а также в популярных браузерах Apple Safari, Google Chrome и Microsoft Edge. Команда экспертов Synacktiv взломала электронный блок управления на автомобиле Tesla, за что получила вознаграждение в $200 тысяч и новый автомобиль Tesla Model 3 — этот эксплойт оказался лидером в рейтинге мероприятия. Synacktiv демонстрировала эксплойты систем Tesla на трёх предыдущих мероприятиях — хакеры взламывали модем и информационно-развлекательную систему электромобиля. Уязвимости в системах Tesla также удалось выявить хакеру-одиночке в 2022 году — тогда он получил удалённый контроль над 25 машинами в 13 странах.

Хакер-одиночка Манфред Пол (Manfred Paul) осуществил удалённое выполнение кода через браузер Apple Safari, за что получил вознаграждение в $60 тыс., и показал эксплойты в браузерах Google Chrome и Microsoft Edge, получив дополнительную премию в $42,5 тыс. «Три браузера повержены, остался один», — написал он в соцсети X, возможно, намекая, что ещё не закончил. Вознаграждение в $60 тыс. получил хакер Сынхён Ли (Seunghyun Lee), который реализовал эксплойт для Google Chrome при помощи всего одной ошибки. АбдулАзиз Харири (AbdulAziz Hariri) обнаружил уязвимость Adobe Reader и, обойдя ограничения API, произвёл атаку с выполнением кода. Наконец, команда Devcore Research выявила две ошибки Windows 11 и осуществила локальную атаку с повышением привилегий, получив за это $30 тыс.

По итогам прошлого года в рамках программы обнаружения ошибок HackerOne были выплачены $300 млн — для сравнения, действующие за рамками закона хакеры за тот же период получили на вирусах-вымогателях более $1 млрд.

По итогам 2023 года Google выплатила этичным хакерам, которые участвовали в программе по поиску уязвимостей в разных продуктах IT-гиганта, $10 млн. Информация об этом появилась в блоге компании.

Источник изображения: Lumapoche / Pixabay

В общей сложности вознаграждение от Google в прошлом году получили 632 исследователя в сфере информационной безопасности из 68 стран мира. Они занимались поиском уязвимостей в разных продуктах компании, таких как операционные системы Android и Wear OS. Размер самой большой единичной выплаты за отчёт об обнаруженной уязвимости составил $113 337, а всего с момента запуска программы в 2010 году Google выплатила исследователям $59 млн.

Источник изображения: Google

В прошлом году Google расширила свою программу по поиску уязвимостей, добавив в неё сервисы на основе генеративных нейросетей, таких как Gemini. В течение всего года в этом сегменте было выявлено 35 ошибок, а общая сумма вознаграждения составила $87 тыс. За обнаруженные уязвимости в Android и аппаратных продуктах Google сумма выплат составила $3,4 млн.

Источник изображения: Google

Ошибки, которые были обнаружены в Wear OS и Android Automotive, принесли исследователям $70 тыс. В браузере Chrome за год было выявлено 359 уязвимостей, которые принесли исследователям около $2,1 млн. Ознакомиться с более детальной информацией по данному вопросу можно в блоге Google.

По итогам 2023 года «Яндекс» перечислил принявшим участие в программе «Охота за ошибками» этичным хакерам 70 млн рублей — годом ранее эта сумма была около 40 млн рублей, говорится в сообщении пресс-службы компании.

Источник изображения: yandex.ru/company

Рост суммы выплат связан с новыми конкурсами с повышенными гонорарами в рамках «Охоты за ошибками», и тем, что число участников программы увеличилось. В минувшем году компания увеличила вознаграждения за обнаруженные уязвимости в её сервисах и запустила ряд конкурсов за поиск ошибок определённых типов — конкурсные выплаты могут оказаться выше обычных в десять раз. В 2024 году фонд выплат «Яндекса» этичным хакерам увеличен до 100 млн рублей.

За 2023 год в программе «Охота за ошибками» приняли участие 528 исследователей безопасности, которые выявили 736 уязвимостей. Выплаты были перечислены за 378 уникальных находок — все они были исправлены. Размеры крупнейших гонораров в 2023 году составили 12 млн, 7,5 млн и 3,7 млн рублей. Они были выплачены в рамках конкурса по поиску критичных уязвимостей. Крупнейшую сумму в 17 млн заработал эксперт, приславший компании 41 уникальный отчёт. Двое других специалистов заработали по 12 млн и 4,3 млн рублей.

Чаще всего поступали сообщения в категории XSS, которой был посвящён отдельный конкурс. Такие уязвимости позволяют обходить политики безопасности сайтов и вставлять на страницы вредоносный код.

«Яндекс» сообщил о расширении действия программы «Охота за ошибками» для умных устройств — теперь она распространяется на продукты, которые компания выпустила в прошлом году: «Станция Дуо Макс», «Станция Миди» и «ТВ Станция». Размер вознаграждения вырос с 600 тыс. до 1 млн руб.

Источник изображения: «Яндекс»

Приоритетной целью обновлённой программы компания обозначила поиск ошибок в новых устройствах. До миллиона рублей получат эксперты, которые смогут обойти защиту этих гаджетов и обнаружить критичные уязвимости. Вознаграждение также увеличилось за выявление уязвимостей в представленных ранее продуктах, включая «Станцию Мини с часами» и «Станцию Макс» — конечная сумма будет зависеть от критичности обнаруженной ошибки. Подробная информация представлена на сайте программы.

За 2023 год «Яндекс» удвоил инвестиции в цифровую безопасность своих продуктов до 6 млрд руб. Средства направлены на создание защищённых систем хранения данных, новые решения в области защиты от мошенничества и DDoS-атак, системы управления доступом и прочие направления. В программе «Охота за ошибками» может принять участие любой желающий — для этого нужно найти уязвимость в продукте «Яндекса» и сообщить о ней компании.

Малоизвестная российская компания Operation Zero предложила вознаграждение до $20 млн за схемы атак, которые могут скомпрометировать iPhone или устройство под Android.

Источник изображения: opzero.ru

Operation Zero позиционирует себя как российская платформа, скупающая у исследователей из сферы кибербезопасности схемы взлома устройств. Выплаты в размере от $200 тыс. до $20 млн компания готова перечислить за «мобильные эксплойты высшего уровня» в связи с «высоким спросом на рынке» — речь идёт о не известных прежде уязвимостях и ошибках, которые ещё не были исправлены разработчиком.

Operation Zero интересует «полная цепочка» атаки, которая приводит к исполнению вредоносного кода на смартфоне, к повышению привилегий хакера или к обходу проверок безопасности ПО. Полученную информацию компания планирует передать покупателю в «стране, не входящей в НАТО». Отмечается также, что клиентами Operation Zero являются «только российские частные и правительственные организации», а эксплойты «не попадут не в те руки».

Примечательно, что только в сентябре дважды поступали сообщения о том, что Apple закрывала по нескольку уязвимостей нулевого дня кряду, причём две из них под общим кодовым именем BLASTPASS эксплуатировались коммерческим шпионским ПО, а ещё три использовались злоумышленниками.

Одиночный майнер с оборудованием совокупной производительностью 1 Пхеш/с сумел 18 августа самостоятельно добыть блок биткоина и получить за него вознаграждение в размере 6,25 BTC, что по теперешнему курсу составляет более $160 тыс. При данном хешрейте такое событие может происходить раз в восемь лет.

Источник изображения: MichaelWuensch / pixabay.com

Майнер, подключённый к пулу CKPool и обладающий кошельком с адресом bc1q2za4ejga366sn288273pty8trasn5zs4y9hqg6, добыл блок биткоина за номером 803 821. Вероятность такого события считается крайне невысокой — при производительности оборудования в 1 Пхеш/с добыть блок самостоятельно можно один раз за восемь лет. Но на практике такое почему-то происходит чаще.

Известно, что в январе 2022 года блок биткоина сумел добыть майнер-одиночка с оборудованием совокупной производительностью 126 Тхеш/с. За это он получил те же 6,25 биткоина, но тогда курс крупнейшей криптовалюты был $42,8 тыс., и вознаграждение составило примерно $270 тыс. А вероятность такого события составляла 1 к 1,36 млн.

А в последний раз одиночке повезло совсем недавно — в мае этого года. Его оборудование имело суммарную мощность в 750 Тхеш/с, а вознаграждение составило $170 тыс. Вероятность события была также невелика — 1 шанс из 489 тыс.

Общая сумма выплат «Яндекса» в рамках программы «Охота за ошибками», посвящённой поиску уязвимостей в продуктах и инфраструктуре компании, в 2023 году увеличивается до 100 млн руб. В «Яндексе» готовы выплачивать вознаграждения так называемым «белым хакерам», даже если заложенная фондом сумма будет исчерпана.

Источник изображения: yandex.ru/company

С начала года сумма выплат составила 35,5 млн руб. Значительную её долю принял январский конкурс, в рамках которого бонусы увеличивались десятикратно за обнаруженные ошибки в категориях Remote Code Execution и «SQL-инъекции». Наиболее крупные премии в этих зачётах составили 12 млн, 7,5 млн и 3,7 млн руб. — величина суммы определяется степенью критичности выявленной уязвимости, простотой эксплуатации и степенью угрозы данным пользователей.

В прошлом году размеры вознаграждений были навсегда увеличены вдвое. Обнаруженные исследователями SQL-инъекции, к примеру, оцениваются до 900 тыс., а не 450 тыс. руб. За 2022 год «Яндекс» выплатил 39,7 млн руб. вознаграждений. Самые крупные премии составили 2 млн, 1,2 млн и 1 млн руб. Всего в программе приняли участие 414 исследователей, от которых поступили 905 отчётов — уникальными и соответствующими правилам программы оказались 288 из них. В прочих случаях это были ошибки, ранее выявленные другими добровольцами или сотрудниками «Яндекса». Премии получили 277 экспертов, чьи уникальные сообщения оказались первыми. Один из участников программы прислал 64 отчёта и получил 43 выплаты. Все обнаруженные ошибки были исправлены.

Программу поиска уязвимостей «Яндекс» запустил в 2012 году — компания была первой в России. Теперь программа «Охота за ошибками» действует в «Яндексе» постоянно.

Майнер-одиночка, оборудование которого имеет производительность 750 Тхеш/с, успешно добыл блок биткоина за номером 790 958, сообщил администратор обслуживающего его пула Сkpool. За это майнер получил базовое вознаграждение в 6,25 биткоина, что по текущему курсу ($27,3 тыс.) составляет примерно $170 тыс.

Источник изображения: André François McKenzie / unsplash.com

По состоянию на 23 мая хешрейт сети биткоина был 367,07 Эхеш/с (1 Эхеш/с = 1 млн Тхеш/с). При производительности 750 Тхеш/с вероятность добычи блока для майнера-одиночки составляла 1 к 489 тыс. Майнер является участником пула Сkpool, предназначенного специально для одиночек — за его услуги добытчик выплатит комиссию в 2 %, в данном случае 0,125 биткоина или примерно $3,4 тыс. Кроме того, майнеру причитается ещё комиссия за транзакции, которая в этом блоке оказалась 0,249 биткоина или $6,7 тыс.

При текущей сложности майнинга и производительности в 750 Тхеш/с добыча одного блока в среднем должна была занять девять лет, рассказала администрация Сkpool. К тому же сложность добычи биткоина продолжает расти: только с начала года она увеличилась на 40 %, а 18 мая сеть побила очередной рекорд.

Добыча блока биткоина майнером-одиночкой — событие редкое, но не уникальное. Майнеру-одиночке удалось добыть блок в январе 2022 года. Производительность его оборудования была 126 Тхеш/с — он получил те же 6,25 биткоина, но по тогдашнему курсу ($42,8 тыс.) это были примерно $270 тыс. А вероятность такого события составляла 1 к 1,36 млн.

Google обнародовала результаты работы своей программы Vulnerability Reward, в рамках которой этичным хакерам выплачиваются вознаграждения за найденные в продукции компании ошибки и уязвимости. За 2022 год компания выплатила более $12 млн за более чем 2900 найденных уязвимостей.

Источник изображения: security.googleblog.com

Размер самого большого вознаграждения составил $605 тыс. — в этом исключительном случае хакер обнаружил цепочку эксплойтов, использующих пять отдельных уязвимостей в Android. Этим специалистом оказался человек, известный под ником gzobqq, и он же в 2021 году выявил в Android ещё одну цепочку эксплойтов, которая принесла ему $157 тыс. Оба эти вознаграждения в своё время оказались рекордными за обнаружение ошибок в Android.

Всего по сегменту Android компания выплатила вознаграждений на общую сумму $4,8 млн. Самые активные эксперты сообщили о 200, 150 и 100 уязвимостях соответственно. Google также выплатила около $500 тыс. за 700 уязвимостей, обнаруженных в рамках закрытой программы ACSRP, направленной на повышение безопасности чипсетов под Android. В браузере Chrome были выявлены 363 уязвимости, в платформе Chrome OS — ещё 110, и за них Google заплатила хакерам $4 млн.

Для сравнения, в августе прошлого года Microsoft сообщила, что выплатила $13,7 млн 330 экспертам в 46 странах мира — самая крупная сумма была $200 тыс., а средняя составила $12 тыс. Apple в 2022 году выплатила по аналогичной программе $20 млн при среднем значении вознаграждения в $40 тыс.

«Яндекс» доложил, что в честь 10-летнего юбилея программы поиска ошибок и уязвимостей в продуктах компании размеры выплат до 20 октября будут увеличены в 10 раз. К примеру, критичная ошибка в устройствах с «Алисой» в базовом варианте оценивается в 300 тыс. руб. — эта сумма будет увеличена до 3 млн руб. Максимальное же вознаграждение от «Яндекса» на этот срок достигнет отметки в 7,5 млн руб.

Источник изображения: yandex.ru

Компания напомнила, что ввела подобную программу первой в России — это произошло в 2012 году. Сегодня это стандартная практика для IT-компаний, и с каждым годом число выявленных ошибок увеличивается. С момента запуска в программе приняли участи 4,5 тыс. экспертов, которые помогли выявить более 16 тыс. ошибок в продуктах «Яндекса», включая веб-сервисы, мобильные и десктопные приложения, элементы инфраструктуры и умные устройства, которые выпускаются под маркой компании. Общую сумму вознаграждений, выплаченных этичным хакерам в «Яндексе» не раскрыли.

Обновлённые в рамках конкурса условия будут действовать до 20 октября, после чего программа вернётся к штатному режиму работы. Вознаграждения выплачиваются только за новые ошибки, причём в течение 90 дней после извещения «Яндекса» о выявленной ошибке либо уязвимости рассказывать про неё нельзя никому и нигде. К участию в программе принимаются лица в возрасте от 14 лет, но несовершеннолетним требуется письменное согласие родителей. Компания сотрудничает и с зарубежными экспертами по таким же условиям, только выплаты предлагаются в долларах.