Архив новостей

Facebook объявил награду за найденные уязвимости

Социальная сеть Facebook последовала примеру поисковиков Google и Mozilla и объявила о выплате денежного вознаграждения пользователям, которые смогут отыскать XSS-уязвимости в защите личных данных участников сети. Премия за обнаружение других проблем, не указанных в заявлении Facebook, может быть и больше. Чтобы получить награду, пользователь должен быть первым, кто сообщил о найденной ошибке, и проживать в стране, не попадающей под юрисдикцию США.

Чтобы получить награду от Facebook, пользователь, обнаруживший уязвимость, должен сначала сообщить о ней в компанию в частном порядке. Кроме того, он должен дать сотрудникам Facebook время для исправления проблемы, а не торопиться обнародовать найденные недостатки.

Это хорошая новость для добровольных исследователей, проводящих немало времени в поисках серьезных уязвимостей в защите веб-сайтов и программного обеспечения. Немногие производители ПО готовы оплачивать их усилия. Microsoft, Oracle и большинство других крупных компаний не платят за сообщения частных пользователей о найденных ошибках, даже если это идет на пользу их продукции. Microsoft хотя бы пообещала не подавать в суд и не выдвигать обвинения против хакеров, сумевших отыскать изъяны в системе защиты. Правда, недавно Microsoft предложила вознаграждение в 250 тысяч долларов за информацию, которая позволит посадить за решетку создателей Rustock. Этот недавно расформированный ботнет в свое время был крупнейшим источником спама.

Одним из первых производителей ПО, предложившим 500 долларов в награду за найденные ошибки, стал поисковик Mozilla. Позднее его примеру последовал Google. Сейчас Mozilla готов платить 3 тысячи долларов, а Google — уже 3133,7 за особо серьезные ошибки. На сегодняшний день Google уже выплатил примерно 300 тысяч долларов в рамках программы поиска ошибок. И это не считая выплат за найденные пользователями уязвимости в браузере Chrome Google. «Мы очень довольны результатами работы нашей программы вознаграждений», заявил представитель Google.

Facebook объявил награду за найденные уязвимости

Ваш e-mail не будет опубликован.

 

Отчеты

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике