«10 миллионов рублей за багбаунти!» - громкое заявление ради пиара
Positive Technologies заявили, что готовы заплатить столько за кражу денег со счетов в рамках багбаунти.
Что тут не так? Это не уязвимость, это полноценный redteam-проект, использующий целую цепочку уязвимостей. Поэтому это не относится к багбаунти! Подобный проект требует бОльших ресурсов, наприме привлечения команды с разными специализациями:
- Специалист по web-уязвимостям.
- Специалист по инфраструктурным уязвимостям.
- Специалист по работе со счетами.
Это не работа для глубоких профессионалов одной области чаще всего зарабатывающих на платформах поиска уязвимостей.
И заплатят только по факту, то есть если противодействием вам нарушили работу в середине, или система противодействия мошенничеству не дала провести операцию в самом конце - вы провели бесплатный redteam, спасибо. Вы поработали бесплатно, денег заработать не удалось.
И для такой работы это совсем не те деньги, чтобы так рисковать. В классических redteam платят деньги за любой качественный проект, а не только «если получилось».
Багбаунти формат создает еще дополнительные ограничения в рамках платформы для исполнителей.
За "новый формат багбаунти" нам пытаются выдать redteam на максимально невыгодных исполнителю условиях.
Да и клиентов, которые согласятся на подобное, тоже думаю будет немного. Так что, я уверен, что это просто громкие слова, только хайп.
Positive Technologies заявили, что готовы заплатить столько за кражу денег со счетов в рамках багбаунти.
Что тут не так? Это не уязвимость, это полноценный redteam-проект, использующий целую цепочку уязвимостей. Поэтому это не относится к багбаунти! Подобный проект требует бОльших ресурсов, наприме привлечения команды с разными специализациями:
- Специалист по web-уязвимостям.
- Специалист по инфраструктурным уязвимостям.
- Специалист по работе со счетами.
Это не работа для глубоких профессионалов одной области чаще всего зарабатывающих на платформах поиска уязвимостей.
И заплатят только по факту, то есть если противодействием вам нарушили работу в середине, или система противодействия мошенничеству не дала провести операцию в самом конце - вы провели бесплатный redteam, спасибо. Вы поработали бесплатно, денег заработать не удалось.
И для такой работы это совсем не те деньги, чтобы так рисковать. В классических redteam платят деньги за любой качественный проект, а не только «если получилось».
Багбаунти формат создает еще дополнительные ограничения в рамках платформы для исполнителей.
За "новый формат багбаунти" нам пытаются выдать redteam на максимально невыгодных исполнителю условиях.
Да и клиентов, которые согласятся на подобное, тоже думаю будет немного. Так что, я уверен, что это просто громкие слова, только хайп.