Post #56

«10 миллионов рублей за багбаунти!» - громкое заявление ради пиара Positive Technologies заявили, что готовы заплатить столько за кражу денег со счетов в рамках багбаунти. Что тут не так? Это не уязвимость, это полноценный redteam-проект, использующий целую цепочку уязвимостей. Поэтому это не относится к багбаунти! Подобный проект требует бОльших ресурсов, наприме привлечения команды с разными специализациями: - Специалист по web-уязвимостям. - Специалист по инфраструктурным уязвимостям. - Специалист по работе со счетами. Это не работа для глубоких профессионалов одной области чаще всего зарабатывающих на платформах поиска уязвимостей. И заплатят только по факту, то есть если противодействием вам нарушили работу в середине, или система противодействия мошенничеству не дала провести операцию в самом конце - вы провели бесплатный redteam, спасибо. Вы поработали бесплатно, денег заработать не удалось. И для такой работы это совсем не те деньги, чтобы так рисковать. В классических redteam платят деньги за любой качественный проект, а не только «если получилось». Багбаунти формат создает еще дополнительные ограничения в рамках платформы для исполнителей. За "новый формат багбаунти" нам пытаются выдать redteam на максимально невыгодных исполнителю условиях. Да и клиентов, которые согласятся на подобное, тоже думаю будет немного. Так что, я уверен, что это просто громкие слова, только хайп.