26 февраля 0 5247

Как зарабатывают на шантаже владельцев сайтов

Каждый владелец сайта переживает за свое детище, и этим страхом пользуются некоторые недобросовестные хакеры. Иногда это может происходить под крышей известных сервисов наподобие Open Bug Bounty или HackerOne, услугами которых пользуются компании с мировым именем.

Тем не менее, эти сервисы, скорее всего, в курсе, как некоторые из «этичных» хакеров в их списке занимаются форменным шантажом. Они вымогают деньги за то, что нашли уязвимость на сайте. Если вы думаете, что буржуйские бури бушуют только в бурже и эти волны обойдут вас стороной, то вы глубоко ошибаетесь. Сайты рунета также под их прицелом, чему есть многочисленные примеры. Но обо всем по порядку. 

Для тех, кто не в курсе, сервисы Open Bug Bounty или HackerOne дают возможность White Hat хакерам заработать, находя уязвимости на сайтах и получая за это вознаграждение. Однако непременным условием обеих программ является добровольный порядок оплаты со стороны владельцев сайтов. Кроме того, вебмастера сами должны зарегистрироваться на этих платформах и тем самым предложить исследователям безопасности проверить свой сайт. 

На практике все выходит иначе. Хакеры проверяют сайты пачками, невзирая на желания их владельцев. Например, возьмем один из сайтов, на котором была обнаружена уязвимость и введем его адрес в поиск по базе участников проекта.

Естественно, его там не оказалось — сайт был выбран рандомно без согласия его владельца, которому неожиданно на голову сваливается «письмо счастья» о найденном баге.

За последний месяц такие письма о дырах в безопасности с последующим шантажом получили несколько известных русскоязычных сайтов, адреса которых, по понятным причинам, мы раскрывать не можем.  

В них обычно пишется что-то вроде «Мы нашли на вашем сайте уязвимость, свяжитесь с нами, чтобы узнать подробности». Если ошибка не будет устранена или владелец сайта не свяжется с вежливым вымогателем до указанной даты, то грозят опубликовать баг. Как это назвать, если не вымогательством?

Сколько просят за найденный баг?
Сейчас активно приходят уведомления от индийского хакера по имени Ритик Сингх. На его примере мы можем примерно составить портрет начинающего «этичного» хакера Open Bug Bounty. Итак, что нам удалось узнать? 


Парень начал работу с платформой в декабре 2019 года, но вплотную занялся этим в январе 2020 года. За полтора месяца он отправил немногим более 1 000 репортов и за 7 из них ему заплатили. Понятное дело, для того, чтобы вручную исследовать столько уязвимостей Сингх должен был не есть, не спать и не делать много чего другого. Но, скорее всего, он просто сканировал платежеспособные сайты по Alexa Rank специализированными инструментами на предмет XSS уязвимостей. Сколько он заработал?

Обрадованный посыпавшимися вознаграждениями Сингх выложил скриншоты 5 из 7 платежей в долларах, евро и фунтах от вебмастеров из Великобритании, Голландии и Венгрии.

Общая сумма в долларах составила $510. Учитывая среднюю сумму вознаграждения примерно в $100, парень заработал с конца января по конец февраля около $700. При этом это только первый месяц его работы. 

Как происходит взаимодействие хакера с вебмастером?
Он отправляет репорт на платформу о найденном баге, в свою очередь сервис уведомляет владельцев сайта о баге и необходимости связаться с исследователем безопасности. Вебмастер договаривается с хакером о размере вознаграждения, после чего получает детали бага. За дополнительную плату он может получить помощь в исправлении уязвимости. 

Масштабы
За 5 лет с момента своего основания исследователи Open Bug Bounty нашли более полумиллиона уязвимостей, из них исправлены более 276 000. Точная сумма заработанных хакерами средств не раскрывается, но она есть у HackerOne — $42 млн.

Из этой суммы почти $40 млн заработаны за последние четыре года. У HackerOne средний чек за уязвимость выходит в районе $400. На примере вышеуказанного индийского хакера мы узнали, что начинающий исследователь платформы Open Bug Bounty зарабатывает в среднем $100 за один баг.

Как North Face бесплатно вышла в топ Google с помощью Википедии и сама же себя погубила

Тем временем, количество жалоб на неэтичное поведение «этичных» хакеров все время растет. С одной стороны, хорошо, что последние находят баги и сообщают об этом владельцам сайтов. С другой стороны, вебмастеров раздражает, что их просят заплатить за услугу, о которой они не просили, прямым текстом угрожая, что опубликуют баг. Но все начинается чинно, благородно. Как в этом случае:

Но наши вебмастера давно просекли:

Хакеров чаще всего прельщают сайты в бурже:


В вышеуказанном посте вебмастер пишет, что хотя его сайт не участвует в программе Open Bug Bounty и он не просил никого искать баги, с него начали требовать деньги за подробности. 

А в нижеследующем посте владелец сайта принял предложение, но отделался просто благодарностью. Недовольный хакер нашел еще больше уязвимостей и перешел к угрозам опубликовать их, если ему не заплатят. Вебмастер возмущается неоправданно высоким размером вознаграждения за незначительные баги. 


Также вебмастер указывает на то, что хакер использовал автоматические инструменты для сканирования сайтов.

Исследователь безопасности и вебмастер Скотт Хельм пишет, что такие письма от HackerOne приходят ему часто. Он говорит, ни один из них не согласился просто так предоставить подробности найденной уязвимости. 

Как вести себя в подобных случаях?
Вы сами вольны решать, платить за найденную уязвимость или нет. Но можно попробовать обойтись малой кровью, потому как вы не просили о подобной услуге. Есть несколько вариантов:

1. Сначала нужно связаться с хакером, поблагодарить его и попросить раскрыть подробности. Если он попросит деньги, то можно сослаться на правила Open Bug Bounty или HackerOne (в зависимости, откуда пришло уведомление), запрещающие вымогательство вознаграждения (на скринах ниже) и в крайнем случае обратиться в службу поддержки этих сервисов или написать на их форуме.

С другой стороны, подобное поведение может еще больше разозлить хакера, который может назло вам найти еще другие уязвимости. Как говорится, был бы сайт, а баг найдется. 

2. Можно сторговаться на небольшой символической сумме — тут все зависит от сговорчивости хакера. 

3. Промолчать и не реагировать на письмо, авось пронесет. Хакер в день отправляет десятки подобных уведомлений и, возможно, угроза публикации бага так и останется угрозой. 

Итог
Любой вебмастер может стать жертвой подобных неэтичных хакеров, которые пачками сканируют сайты. Лучший способ защититься от них — постоянно следить за безопасностью сайта и устранять XSS баги. 

Свежие кейсы, актуальные новости и статьи про арбитраж в наших Телеграм-каналах: основной каналe-commerce, гемблинг, адалт и дейтинг, беттинг, финансы и классический манимейкинг.

Как вам статья?

Получить актуальную подборку кейсов

Прямо сейчас бесплатно отправим подборку обучающих кейсов с прибылью от 14 730 до 536 900 ₽.

ПОХОЖИЕ СТАТЬИ