Центр реагирования на проблемы безопасности OnePlus — это программа компании по вознаграждению за обнаружение уязвимостей для тех, кто хочет получать деньги за поиск уязвимостей безопасности.
Кибербезопасность важнее, чем когда-либо, поскольку мы вступаем в новое десятилетие, которое наверняка снова радикально изменит технологии, какими мы их знаем. И независимо от того, насколько велика ваша команда разработчиков или насколько тщательно вы тестируете свое программное обеспечение, некоторым критическим уязвимостям и ошибкам все равно удается большую часть времени пересечь пруд и получить стабильное программное обеспечение. Вот почему несколько компаний, в том числе Samsung, Google, и Хуавей, имеют программы вознаграждения за обнаружение ошибок, которые позволяют исследователям безопасности попробовать программное обеспечение компании и получить очень щедрую сумму денег, если им удастся найти какой-либо критический эксплойт. OnePlus теперь присоединяется к этому списку компаний, поскольку они обещал в начале этого года.
OnePlus представила собственную программу вознаграждения за обнаружение ошибок, которую они называют Центром реагирования на проблемы безопасности OnePlus, или сокращенно OneSCR. Идея проста: если вы (должным образом) обнаружите уязвимость, вы можете получить деньги в обмен на (должное) сообщение о ней. Открытие этой программы происходит почти через два года после того, как компания обнаружила нарушение безопасности на своем платежном портале, и через месяц после того, как они раскрыто нарушение данных клиента в магазине OnePlus.
Однако эта программа вознаграждения за обнаружение ошибок немного отличается от аналогов других компаний, и это связано с суммами выплат. В то время как другие компании готовы предложить несколько сотен тысяч долларов за очень критическую уязвимость безопасности, OnePlus предлагает до 7000 долларов за наиболее серьезные угрозы, в то время как более мелкие ошибки будут стоить всего лишь $50-$100. Страница политики подачи разъясняет позицию OnePlus в отношении ответственного/скоординированного раскрытия информации, взаимодействия с учетными записями, запрещенных методов атаки, недопустимых проблем и, наконец, платежей.
Вот список уровней вознаграждений:
- Особые случаи: до 7000 долларов США.
- Критический: $750–1500.
- Высокий: 250–750 долларов США.
- Средний: 100–250 долларов США.
- Низкая: 50–100 долларов США.
Хотя для некоторых людей 7000 долларов — приличная сумма, она очень далека от того, что предлагают другие компании. Учитывая размер и масштаб компании OnePlus (они стали намного больше с тех пор, как выпустили OnePlus One 5 лет назад), можно ожидать, что выплаты по такой программе будут немного более щедрыми. Тем не менее, мы надеемся, что программа поможет повысить безопасность продуктов OnePlus. Вы можете отправлять отчеты об ошибках здесь.
OnePlus также заявляет, что они будут сотрудничать с HackerOne, хакерской платформой по обнаружению ошибок, чтобы запустить пилотная программа в 2020 году, в которой избранным исследователям безопасности будет предложено протестировать свои системы на предмет потенциальных угрозы.
Источник: OnePlus