В Японии не хотят выплачивать вознаграждения хакерам за найденные уязвимости

Япония остаётся одной из немногих стран, в которых компании упорно не желают выплачивать вознаграждения так называемым «белым хакерам» ― специалистам по IT-безопасности, которые находят уязвимости в тех или иных коммерческих программных продуктах. Более того, в ответ на сообщение об обнаруженной уязвимости даже простого «спасибо» можно не услышать. Например, компания Toyota Motor охотно, хотя только на словах, благодарит за найденные ошибки на интернет-страницах корпоративного сайта, но отделывается молчанием, когда ей сообщают об обнаруженных «багах» в программном обеспечении автомобилей.

По данным американской организации HackerOne на 2018 год, в мире среднее вознаграждение за обнаружение киберуязвимостей за два года подскочило на 70 % до $3380. В ноябре компания Google подняла максимально возможную сумму разовой выплаты за найденную в Android уязвимость до $1,5 млн. Компания Apple увеличила награду с $200 тыс. до $1 млн. Компании Tesla и Fiat Chrysler Automobiles предлагают, соответственно, $15 тыс и $7,5 тыс. Даже кофейня Starbucks платит за найденные баги: до $4000. Не отстают и азиатские компании. Например, сингапурская Grab выплачивает за обнаруженные в приложениях уязвимости до $10 тысяч.

Программа поощрения за обнаруженные уязвимости помогает улучшить защиту продукта и пользователей, но в японской традиции, сетует японское издание Nikkei, стыдно публично признавать свои ошибки. Точно так же, как Toyota Motor, хай-тек компании NEC и Fujitsu тоже отказываются учреждать премии за обнаруженные уязвимости, хотя им-то сам бог велел популяризировать подобные методы поиска багов.

Согласно проведённому журналистами Nikkei опросу среди хакеров, японская инфраструктура подвержена сравнительно лёгкому взлому. Хакеры заявляют, что могут отключить системы вентиляции целых зданий с помощью старых и небезопасных систем управления. Банкоматы в большинстве региональных банков также могут быть доступны через удалённый доступ. Наконец, банковская система такая же уязвимая вплоть до того, что хакеры могут менять суммы остатков на депозитных счетах едва ли не у любых клиентов банков.

У российских компаний, очевидно, похожие проблемы. Извинятся и публично терять лицо тоже не в правилах, хотя «Лаборатория Касперского», например, не стесняется поощрять все тех, кто находит уязвимости в её продуктах.

Источник: 3dnews.ru