General Motors запустила собственную Bug Bounty program, но без вознаграждений
Еще один выстрел в ногу
Концерн General Motors запустил собственную программу поиска багов и уязвимостей за «вознаграждение», сообщает securityledger.com. Изюминкой новой BB стало то, что деньги за найденные уязвимости концерн выплачивать не будет.
Предназначена программа для «White hat»-хакеров и специалистов по информационной безопасности, которым GM предоставит доступ к своему программному обеспечению. Запущена «Bug Bounty» в целях повысить интерес «White hat»-хакеров и других экспертов к работе над внутренним ПО компании. Фактической же «наградой» за участие станет отсутствие судебных исков к специалистам, нашедшим уязвимости.
Запущен этот «аттракцион невиданной щедрости» был 5 января 2016 года на веб-сайте Hackerone с обещаниями «вечной славы» для специалистов, которые примут в ней участие и передадут данные об уязвимостях безопасности программного обеспечения General Motors. О денежных вознаграждениях, как это обычно бывает при запуске BB-программ, на сайте не упоминается. Зато предлагается стать первым, кто «покроет себя вечной славой». General Motors не первый «старый капиталистический гигант», который приходит к IT-сообществу с подобными предложениями.
Между тем, чтобы не получить от автоконцерна многомиллионный иск, специалисту по безопастности или хакеру будет необходимо выполнять, к примеру, следующие требования:
- Не вредить GM или их клиентам;
- Предоставить подробный отчет о своей работе над их ПО;
- Не ставить под угрозу жизнь или безопасность клиентов компании или ее услуги;
- Не нарушать законов;
- Обязаны предоставить детали местонахождения уязвимости для ее устранения силами GM;
- Специалистам с Кубы, Ирана, Северной Кореи, Судана, Сирии и Крыма участвовать в программе запрещено.
Полное описание GM BB-program на скриншоте ниже:
За неделю желающих поучаствовать не нашлось
Учитывая рыночную капитализацию GM в 47$ млрд, отсутствие информации о денежном вознаграждении выглядит, как минимум, странно. Bounty Bug-программы стали серьезной статьей дохода для талантливых хакеров и специалистов по информационной безопастности и позволяют им зарабатывать сотни тысяч долларов в год, в тоже время повышая качество выпускаемого ПО крупными компаниями и софтверными гигантами. Услугами «вольнонаемных» безопастников активно пользуются такие компании как Yahoo, PayPal, Twitter, Facebook, Microsoft и другие.