Хакеры со всего мира проверили сервисы Mail.Ru на прочность

Конкурс стал первой инициативой подобного рода в истории Mail.Ru Group. Он распространялся на поиск потенциальных проблем с безопасностью в Почте, Облаке, Календаре и их мобильных приложениях для iOS  и  Android, а также в Авторизационном центре Mail.Ru. Однако к рассмотрению также принимались интересные баги, выявленные в других проектах компании. Один из них даже удостоился специального приза.

Трое победителей, обнаруживших самые ценные баги, объявлены на платформе партнера конкурса – авторитетного международного хакерского сообщества HackerOne (http://hackerone.com/mailru). Победитель, выявивший наиболее критичную уязвимость, получит 5 000 долларов, выплаты за второе и третье места составят 3 000 и 1 500 долларов соответственно. Также был присужден специальный приз в 2 тысячи долларов. Кроме того, сумма, эквивалентная 30% всех вознаграждений, уйдет в фонд HackerOne на выплату премий за уязвимости, найденные в ПО с открытым кодом.

HackerOne был выбран в качестве площадки для проведения программы не случайно. Это некоммерческая организация, занимающаяся вопросами кибер-безопасности. Среди ее сооснователей – ведущие мировые эксперты в этой области. Одна из крупных инициатив, проводящихся на площадке, – поиск уязвимостей в популярном ПО с открытым кодом. Кстати, именно через платформу Hackerone была выплачена награда хакерам, обнаружившим печально известную уязвимость Heartbleed, которая недавно привела к крупнейшей в истории человечества утечке данных. Партнерство с HackerOne обеспечивает инициативе Mail.Ru Group международный охват и позволяет участникам подавать заявки на анонимной основе.

«Проведение конкурсов на выявление уязвимостей – общемировая практика в IT-индустрии. Это и неудивительно, ведь сложности у крупных игроков примерно одинаковые: множество проектов, отделов и команд разработчиков. В домене mail.ru, например, на текущий момент находятся более пятидесяти различных проектов, в разработке которых участвует десятки независимых, хотя и взаимодействующих команд, присоединившихся к компании в разное время. Бывают разовые проекты, создающиеся под определенное событие. А еще у нас есть проекты партнеров со своим кодом, администрированием и поддержкой, – комментирует вице-президент Mail.Ru Group Анна Артамонова, руководитель бизнес-подразделения Почта и портал. – Конкурс bug bounty стал серьезной проверкой для наших сервисов, и мы достойно ее выдержали».

Основной задачей конкурса была оценка качества работы, проделанной в области усиления информационной безопасности Mail.Ru. Среди новых способов защиты пользовательских данных, внедренных за последний год, – технология HTTP only cookie, использование Secure Cookie, content security policy и разделение  пользовательских сессий при доступе к различным проектам единого информационного портала Mail.Ru. Именно последнее сделало ключевые проекты Mail.Ru неуязвимыми для недавней атаки Heartbleed, от которой пострадали крупнейшие почтовые сервисы мира.

Начиная с мая 2014 года, конкурс Mail.Ru Group на выявление уязвимостей трансформируется в постоянно действующую программу. Минимальный размер премии составит 100 долларов. Объем вознаграждения за наиболее интересные и ценные для компании баги будет варьироваться в пределах от 5 000 до 10 000 долларов.