На волне постов про уход компаний из РФ на волне санкций практически незаметно для большинства пользователей Рунета прошла новость о закрытии для граждан РФ, Беларуси и Украины площадки HackerOne. Вместе с блокировкой счетов.
Это такая биржа, на которой компании размещали свои программы, а багхантеры искали баги и все были довольны. Обычно такие профессиональные синергии остаются аполитичны, но не в этот раз, руководство h1 сделало ход конем:
И под этим "соусом" заблокировала выплату русским, белорусским и украинским багхантерам:
Под санкции попал и известный украинский багхантер Артем Московский, о котором есть статья на Хабре:
Дело даже не в невозможности вывести средства через российские платежные системы или альтернативные методы - денежные средства блокированы и будут направлены на благотворительность. Но, Mårten Mickos (CEO h1) начинает переобуваться в воздухе по поводу направления этой благотворительности. Максимально заблокированная сумма составляет порядка $100.000.
Также, во множественных комментариях h1 в твиттере указывают, что такая армия специалистов теперь просто будет продавать баги в даркнете, кому от этого станет лучше? Очень плохо, когда профессиональное коммюнити пытаются разделить по политическим взглядам. Есть прекрасный пример коллаборативного общения багхантеров со всего СНГ - https://t.me/WebPwnChat - где обсуждают технические детали, а не у кого какого цвета флаг, цвет волос, пол или религиозные убеждения.
Бизнес
С коммюнити разобрались, недовольные ноют, оптимисты ищут выход, а рисковые уходят в даркнет. Теперь к компаниям.
На данный момент заморожены компании VK Group, Yandex, Ozon, СберМаркет, и многие другие, вместе с оплатой за хостинг на площадке и депозитом на выплаты багхантерам. Плюс ко всему существует немалая вероятность передачи багов российских вендоров и техногигантов "туда", учитывая плотное сотрудничество h1 с Dept Of Defence и АНБ.
Что делать?
Не лишним будет напомнить, если вы хотите иметь прямую связь с багхантером - разместите в корень сайта файл /security.txt с информацией о связи с командой, как это сделано на mos.ru или gosuslugi.ru.
В РФ существует площадка bugbounty.ru, готовая принять российские компании и багхантеров с hackerone/bugcrowd на лояльных условиях и взаимовыгодном сотрудничестве. Социально-значимые проекты размещаются бесплатно.
