Эксперты рассказали о трудностях работающих с иностранным ПО багхантеров

МОСКВА, 13 октября. //. Российские специалисты, ищущие уязвимости в ПО иностранных компаний, так называемые багхантеры, могут рассчитывать на обещанные выплаты от разработчиков через "обходные пути", хотя прецеденты отказов были и о них известно. Об этом сообщили эксперты, комментируя поднятие корпорацией Apple награды за нахождение серьезных брешей в своем ПО до $2 млн.

Главный технологический эксперт "Лаборатории Касперского" Александр Гостев сообщил, что раньше российским багхантерам платили - выплаты шли как от самих иностранных компаний, так и по программам поиска у них уязвимостей на специализированных платформах. С 2022 года, по его словам, ситуация изменилась. "Для российских и белорусских исследователей действуют ограничения: теперь, чтобы получить выплату, уязвимость должен зарепортить обладатель паспорта, не принадлежащего недружественным странам", - отметил он. Выплаты, по его словам, возможны, но не напрямую, а через некоторые "обходные пути".

Глава группы координированного раскрытия уязвимостей в Positive Technologies (РТ) Диана Абдурахманова сообщила , что специалисты компании постоянно проводят исследования безопасности ПО, в это число входит и ПО Apple. Но PT не ставит целью получение вознаграждения, добавила она. Гостев же заявил, что ранее "Лаборатория Касперского" безвозмездно информировала о брешах, но позже стала сообщать о них именно через программы поиска, для выплат.

Руководитель группы защиты инфраструктурных IT-решений компании "Газинформсервис" Сергей Полунин напомнил об инциденте, когда Apple отказалась платить "Лаборатории Касперского" за уязвимость в iOS, через которые в гаджеты проникала шпионская программа "Триангуляция".

"Если Apple можно не платить россиянам за выполненную работу, то что говорить о компаниях поменьше. То есть выплаты были, однако, если брать за основу уже озвученные примеры, предполагаются ли они в дальнейшем - можно только догадываться", - сказал он.

Apple стала платить за обнаружение брешей в безопасности в 2016 году, и сумма выплат с 2020 года за найденные уязвимости уже превысила $35 млн. Недавно Apple подняла до $2 млн размер выплаты за нахождение серьезных уязвимостей в ПО, общая сумма, которую можно получить, теперь достигает $5 млн с учетом бонусов.

Поднимая общую сумму выплаты до $5 млн, Apple пытается добиться того, чтобы информацию об уязвимостях передавали именно ей, считает Гостев, поскольку, по его словам, компании-брокеры уязвимостей давно предлагают за них от $2 млн и больше. Для исследователей безопасности ранее было выгоднее продать свои находки "на сторону", но теперь Apple приблизила свою цену за свои же эксплойты к реальной рыночной.