Уязвимый криптохостинг Mega может стать неплохим источником дохода для специалистов по безопасности. Самые быстрые из них уже получили первые вознаграждения за уязвимости, найденные в коде веб-страниц.
После упрёков в слабой криптозащите сервиса и принципиально неправильном подходе к шифрованию, который используется сервисом Mega, основатель компании Ким Дотком объявил о запуске программы вознаграждений за баги — стандартной программы, которую практикуют многие ответственные интернет-компании, такие как Mozilla, Google и Facebook. Все они платят хакерам за информацию о найденных уязвимостях, а в случае опасных эксплойтов размер выплат достигает весьма внушительных сумм до 150 тысяч долларов.
Ким Дотком тоже последовал примеру «старших братьев» и тоже объявил о программе вознаграждений, общий призовой фонд которой составляет 10 тысяч евро.
10 февраля сайт Mega выплатил первую премию в размере 1000 евро за найденную XSS-уязвимость. За несколько первых дней было найдено семь уязвимостей, из которых оплачено как минимум три уязвимости. Судя по всему, это только начало. По мнению экспертов, первые закрытые баги было относительно легко обнаружить: это довольно примитивные XSS-баги, например, отсутствие заголовка X-Frame-Options и заголовка HTTP Strict Transport Security на веб-страницах.
Можно сказать, что это довольно лёгкие деньги для хакеров, которые первыми «подсуетились». Впрочем, раздача призов на этом не завершается: Ким Дотком и его товарищ, ведущий программист Майкл Ортманн, обещают продолжать выплачивать вознаграждения и дальше.
По мнению некоторых экспертов, в коде Mega остался ещё миллион уязвимостей, так что Ким Дотком может серьёзно поиздержаться. Изначально он обещал платить до 10 тысяч евро за каждую уязвимость, по факту платит в десять раз меньше, но это тоже неплохо.
