Хороших багов стало меньше

Социальная сеть Facebook наняла в прошлом году 330 хакеров из разных стран мира. 
Задача стояла следующая: найти уязвимые места в Facebook. Расходы Facebook на их находки составили 1,5 млн долл., об этом говорится в отчете компании. Лидерами по количеству найденных багов стали представители России, Бразилии, США и Индии.

Россияне за год нашли 38 багов (баг англ. bug - первичные значения: клоп, любое насекомое, вирус). За каждый из них Facebook выплатила в среднем по 4 тыс. долл. Общая сумма вознаграждений Россиян превысила 150 тыс. долл. Конкуренты Россиян из других стран обнаружили больше ошибок. К примеру хакеры из Бразилии нашли 53 ошибки (заработав около 200 тыс. долл.), специалисты из Индии 136 ошибки (184 тыс. долл.), а их коллеги из США нашли 92 уязвимости (209 тыс. долл.). Россияне и Бразильцы нашли меньше всего дыр в соцсети, зато их открытия оказались более значимыми. 
"Они находят вещи, которые мы не можем обнаружить", - говорит специалист по информационной безопасности Facebook Алекс Райс.

Одним из самых успешных хакеров оказался 27-летний Бразилец Режанальдо Силва из Сан-Жозе-дус-Кампус, об этом сообщает The Wall Street Journal. Бывший инженер-программист в ноябре обнаружил ошибку, позволяющую злоумышленникам получить доступ к серверам Facebook и коду. Это могло бы привести к взлому аккаунтов и распространению вирусов среди пользователей. За сдачу бага бразилец получил 33,5 тыс. долл., а затем соцсеть предложила ему работу. Всего Силва обнаружил свыше десятка различных проблем, а Google, запустившая аналогичную программу, включила его в пятерку лучших ловцов багов.

В прошлом году Facebook получила около 15 тыс. заявок хакеров об обнаруженных ими дыр в безопасности, это на 246% больше, чем в 2012 году. Из них Facebook признала корректными только 687 и за их нахождение выплатила награду. Из всех багов только 6% представляли серьезную угрозу. 
"Объем критических ошибок снижается, и мы слышим от исследователей, что все сложнее найти хорошие баги", отмечает в отчете специалист по защите информации Facebook Колин Грин. По его словам, компания продолжит увеличивать объемы вознаграждений за нахождение ошибок, представляющих серьезную опасность для стабильности соцсети. С 2011 года компания выплатила хакерам свыше 2 млн долл.

Кроме Facebook, деньги за нахождение багов выплачивают также Google, Mozilla, Yahoo, Hewlett-Packard. В России аналогичную программу под названием "Охота за ошибками" в 2012 запустил Яндекс.

"Сейчас нам присылают около 300 писем в месяц со всего земного шара, из них, как правило, около 10-20 содержат информацию о реальных проблемах безопасности. Больше всего наград уходит в Россию, Украину и Индию, а самые сложные уязвимости замечают еще в Швеции и Польше", рассказывает руководитель группы продуктовой безопасности Яндекса Тарас Иващенко. 
Размер награды зависит от сервиса, на котором была обнаружена уязвимость. Так, за обнаружение уязвимостей в наиболее важных сервисах (Паспорт, Почта, Диск, Карты, Календарь, Мой Круг, главная страница, страница результатов поиска) Яндекс может выплатить до 100 тыс. рублей.