General Motors запустила собственную Bug Bounty program, но без вознаграждений

Еще один выстрел в ногу

Концерн General Motors запустил собственную программу поиска багов и уязвимостей за «вознаграждение», сообщает securityledger.com. Изюминкой новой BB стало то, что деньги за найденные уязвимости концерн выплачивать не будет.

Предназначена программа для «White hat»-хакеров и специалистов по информационной безопасности, которым GM предоставит доступ к своему программному обеспечению. Запущена «Bug Bounty» в целях повысить интерес «White hat»-хакеров и других экспертов к работе над внутренним ПО компании. Фактической же «наградой» за участие станет отсутствие судебных исков к специалистам, нашедшим уязвимости.

Запущен этот «аттракцион невиданной щедрости» был 5 января 2016 года на веб-сайте Hackerone с обещаниями «вечной славы» для специалистов, которые примут в ней участие и передадут данные об уязвимостях безопасности программного обеспечения General Motors. О денежных вознаграждениях, как это обычно бывает при запуске BB-программ, на сайте не упоминается. Зато предлагается стать первым, кто «покроет себя вечной славой». General Motors не первый «старый капиталистический гигант», который приходит к IT-сообществу с подобными предложениями.

Между тем, чтобы не получить от автоконцерна многомиллионный иск, специалисту по безопасности или хакеру будет необходимо выполнять, к примеру, следующие требования:

• Не вредить GM или их клиентам;
• Предоставить подробный отчет о своей работе над их ПО;
• Не ставить под угрозу жизнь или безопасность клиентов компании или ее услуги;
• Не нарушать законов;
• Обязаны предоставить детали местонахождения уязвимости для ее устранения силами GM;
• Специалистам с Кубы, Ирана, Северной Кореи, Судана, Сирии и Крыма участвовать в программе запрещено.

Полное описание GM BB-program на скриншоте ниже:


За неделю желающих поучаствовать не нашлось

Учитывая рыночную капитализацию GM в 47$ млрд, отсутствие информации о денежном вознаграждении выглядит, как минимум, странно. Bounty Bug-программы стали серьезной статьей дохода для талантливых хакеров и специалистов по информационной безопасности и позволяют им зарабатывать сотни тысяч долларов в год, в тоже время повышая качество выпускаемого ПО крупными компаниями и софтверными гигантами. Услугами «вольнонаемных» безопасников активно пользуются такие компании как Yahoo, PayPal, Twitter, Facebook, Microsoft и другие.