$1.7 миллиона за легальный взлом.
Исследователю заплатили 1,7 млн долларов за реализованный легальный взлом. Точнее, за успешную компрометацию кошелька с админским доступом. Исследователь немедленно связался с компанией и получил свою выплату. К слову, случай не первый, и о выплатах подобного размера в криптоиндустрии знали и раньше.
Сейчас в России рождается новая концепция построения ИБ в компании, основанная на понятии "недопустимого события". За всем этим лежит очень простая идея: бизнес не защищается "от всего и сразу", он защищается от конкретных угроз и всеми силами. Наиболее близкая аналогия, хоть и не из ИБ: в 20 веке линкоры иногда бронировали по схеме "все или ничего", защищая тяжелой броней ключевые узлы корабля. Тут идея, в целом, схожая.
Так вот, главное отличие от bug bounty для такой концепции — это крайняя сложность достижения подобных "недопустимых событий" исследователями (т.е. командой "белых") и, соответственно, огромные выплаты за результат, вот буквально десятки, если не сотни миллионов рублей за успешную "белую" атаку. Логика в этом есть: если аналогичную атаку проведут злоумышленники, компания может потерять в разы больше. Так вот, пока весь мир плавно дрейфует в сторону такой концепции защиты, криптоиндустрия внезапно приняла ее первой. Ну, отчасти приняла, но оно работает.
А смысл в этом есть: огромные выплаты стимулируют команды очень крутых исследователей участвовать. По-сути, это становится похоже на первые автогонки типа "Париж-Даккар": нет гарантий успеха, нет гарантий, что вы вообще дойдете до финиша, но если получится, вы будете очень богаты и известны. Концепция как минимум красивая: а для всего остального есть bug bounty.
Исследователю заплатили 1,7 млн долларов за реализованный легальный взлом. Точнее, за успешную компрометацию кошелька с админским доступом. Исследователь немедленно связался с компанией и получил свою выплату. К слову, случай не первый, и о выплатах подобного размера в криптоиндустрии знали и раньше.
Сейчас в России рождается новая концепция построения ИБ в компании, основанная на понятии "недопустимого события". За всем этим лежит очень простая идея: бизнес не защищается "от всего и сразу", он защищается от конкретных угроз и всеми силами. Наиболее близкая аналогия, хоть и не из ИБ: в 20 веке линкоры иногда бронировали по схеме "все или ничего", защищая тяжелой броней ключевые узлы корабля. Тут идея, в целом, схожая.
Так вот, главное отличие от bug bounty для такой концепции — это крайняя сложность достижения подобных "недопустимых событий" исследователями (т.е. командой "белых") и, соответственно, огромные выплаты за результат, вот буквально десятки, если не сотни миллионов рублей за успешную "белую" атаку. Логика в этом есть: если аналогичную атаку проведут злоумышленники, компания может потерять в разы больше. Так вот, пока весь мир плавно дрейфует в сторону такой концепции защиты, криптоиндустрия внезапно приняла ее первой. Ну, отчасти приняла, но оно работает.
А смысл в этом есть: огромные выплаты стимулируют команды очень крутых исследователей участвовать. По-сути, это становится похоже на первые автогонки типа "Париж-Даккар": нет гарантий успеха, нет гарантий, что вы вообще дойдете до финиша, но если получится, вы будете очень богаты и известны. Концепция как минимум красивая: а для всего остального есть bug bounty.