«Получаю до $10 000 в месяц». Как «русские хакеры» взламывают PornHub и QIWI за деньги
– Когда вы начали занимать багхантингом и какую уязвимость нашли самой первой?
– Багхантингом я начал заниматься в 2017 году, когда мне было 18 лет. По сути тогда я толком не знал, что такое информационная безопасность и bug bounty (программа вознаграждения за обнаружение ошибок и уязвимостей — прим.ред.). Однако имел неплохие навыки в программировании и реверс-инжиниринге (разбор готового программного продукта на его составляющие – прим.ред.).
Так, однажды в одной из соцсетей я нашел уязвимость, которая позволяла размещать посты на странице любого пользователя от его имени, но без его ведома. Работала она просто: жертве можно было прислать ссылку, после перехода по ней срабатывал скрипт, и готово – на странице какого-нибудь блогера могло появиться сообщение с любым текстом, который захотел бы разместить атакующий. Таким текстом могла быть как шутка, так и, к примеру, реклама любого товара.
– Правильно я понимаю, что вы «продали» эту уязвимость разработчикам соцсети?
– Да, но случилось это не сразу. Точнее, я представления не имел, что могу получить деньги за свою находку. Я просто написал об ошибке в техподдержку соцсети, а в ответ получил предложение сообщить об уязвимости через программу bug bounty на платформе HackerOne (самая популярная в мире bug bounty-платформа – прим. ред.). Так я и сделал.
Вскоре мне заплатили за уязвимость $200. Для меня это была огромная сумма. Тогда я еще учился в колледже и жил в общежитии. После этого случая я начал понимать, что такое bug bounty, как на этом можно зарабатывать, как искать бреши и сообщать о них компаниям в соответствии с политикой о неразглашении. У меня сразу появилось желание развиваться в этой сфере.
– Сколько уязвимостей вы нашли и продали на сегодняшний день?
– Больше сотни.
– Что это были за компании?
– Разные. В основном соцсети, интернет-сервисы вроде GitLab и Slack.
Много уязвимостей удалось найти в платежном сервисе QIWI. Был даже случай с PornHub.
– PornHub? Простите, не могу не спросить, при каких обстоятельствах вы нашли уязвимость на этом сайте? Пришли как рядовой посетитель и подумали «дай-ка в коде поковыряюсь»?
— Все более прозаично. Выбрал в качестве цель из общего списка, опубликованного на платформе HackerOne, так же, как это делают все багхантеры, и пошел ломать.
– Можете рассказать, в чем заключалась суть этой уязвимости?
— Хоть эта уязвимость уже и закрыта, подробности я все еще разглашать не могу. Команда программы не давала разрешение на раскрытие ее содержания.
– Сколько вы за нее получили?
— $250.
– Правильно я понимаю, что все уязвимости, которые вы обнаружили стоили около $200?
– Конечно, нет.
В каждой программе bug bounty определен диапазон денежных вознаграждений за найденные уязвимости. Разный тип уязвимостей оплачивается по-разному. Чем опаснее уязвимость и чем больше у нее влияния на продукт, тем больше получит исследователь за ее обнаружение.
Как правило, минимальная выплата — $50, максимальная может доходить до сотен тысяч. Сотни тысяч я, конечно, не получал, но больше $3000 было точно.
– Сколько на bug bounty вы зарабатываете ежемесячно?
– Зависит от приложенных усилий и везения.
Если постараюсь, за месяц могу заработать больше $10 тыс., если поленюсь, может выйти и $100.
– Вы работаете где-нибудь на постоянной основе?
– Работаю в одной из ведущих российских компаний в сфере информационной безопасности и багхантинг для меня ― исследовательская работа, которой я занимаюсь в свободное от основной работы время: это интересно, это развивает меня как специалиста и, конечно же, приносит некоторый дополнительный доход, что тоже, согласитесь, неплохо. И когда я говорю о размере заработка на багхантинге, я имею ввиду сумму, которая, конечно же, не включает в себя зарплату.
– Как вас взяли на работу в ИБ-компанию? Вы же хакер!
— Да, хакер, но «белый». Я исследователь безопасности.
Опыт таких специалистов, как я, очень востребован на стороне защиты: мы умеем посмотреть на системы любой организации и найти в них те бреши, которые вероятнее всего уже ищут те хакеры, которые нацелены на деструктив. Ну и да, позволю себе минутку тщеславия и скажу, что на работу меня взяли с большой охотой.
В резюме мне хватило всего одной строчки со ссылкой на мой профиль на HackerOne. Больше я ничего не стал указывать – и меня взяли. На собеседовании мой будущий руководитель еще пошутил над тем, какое у меня резюме информативное.
Так что иметь хороший рейтинг на bug bounty платформе в каком-то смысле лучше, чем иметь красный диплом. Диплом о высшем образовании у меня, конечно, есть. Но он не красный.
– Вы упомянули везение. Объясните, пожалуйста, на что оно влияет в багхантинге?
— Например, бывает так, что ты нашел уязвимость, отправил репорт и ждешь ответ от компании. Через несколько часов или дней видишь, что уязвимость, которую ты нашел, закрыта на HackerOne и помечена как Duplicate.
Это значит, что одновременно с тобой уязвимость нашел и другой хакер. В таком случае награду получает тот, кто первым сообщил об уязвимости.
Бывает еще, что после репорта уязвимость получает статус Informative. Это значит, что компания решила не исправлять уязвимость, поскольку посчитала ее некритичной. В таком случае, разумеется, денег тоже не видать.
– А какой статус дает понять, что бумажник скоро потяжелеет?
— Все ждут заветный статус Triaged, после которого назначается выплата. Вознаграждение, как правило, поступает на банковский счет, PayPal или Bitcoin-кошелек (Coinbase) в тот же день.
В некоторых случаях команда программы bug bounty может перечислить награду после того, как устранит уязвимость, то есть через месяц, в среднем. Но были случаи, когда я получал выплату через несколько лет после репорта.
Уже даже забываешь о том, что где-то что-то нашел и зарепортил, а тут тебе на почту приходит уведомление о выплате. Это как найти деньги в зимней куртке в начале сезона.
Однако это — редкость, обычно ожидание награды составляет до месяца.
– Скажите, какая уязвимость была для вас самой прибыльной?
– Однажды я вскрыл уязвимость, позволяющую обходить комиссию на переводы в одной из популярных платежных систем. Устранить ее можно было только в конкретном месте. То есть, нашел на одной странице – исправил на этой странице. После обновления сайта уязвимость появилась на другой странице – исправляй снова. Закрыть уязвимость одной правкой везде и навсегда было нельзя.
Соответственно, я начал такие места искать. В итоге в разное время отправил пять репортов по одной уязвимости, и компания выплатила мне вознаграждение за каждый.
Другие исследователи найти обнаруженную мною «брешь» не могли, так как информация по репортам была закрыта. Нащупывать же уязвимость вслепую, с нуля можно было несколько месяцев. Никто за такое не возьмется.
– Бывают ли между «белыми» хакерами и заказчиками конфликты? Есть ли в этой сфере аферисты и мошенники?
– Сфера bug bounty построена на доверии между компаниями и «белыми» хакерами.
Возможно в это сложно поверить, но в данном случае доверие является фундаментом, который по прочности не уступает договорам с кучей печатей и подписями десятка важных людей.
Я это к тому, что в сфере bug bounty бывают конфликты, но очень редко. Бывают случаи, когда, например, уязвимость засветилась в СМИ после репорта, или владельцы программы bug bounty посмотрели логи и выяснили, что исследователь ее эксплуатировал. Тогда им отказывают в выплате вознаграждения.
Подчеркну, что такое поведение идет вразрез с этическими принципами настоящего исследователя.
– Мой скромный опыт общения c пентестерами не дает мне понять, почему они неохотно раскрывают свою личность. Можете рассказать о причинах скрытного поведения «белых» хакеров?
— Я бы не сказал, что это правило. Все зависит от человека. Чаще, даже наоборот – люди везде ездят, выступают, презентации показывают.
А вообще, когда начинаешь разбираться как все работает – к безопасности в интернете начинаешь относиться по-другому.
Тут уже и в пароли символы добавляешь, и лишний раз думаешь, стоит ли на незнакомый сайт свои данные вводить. А такой тенденции, чтобы все скрывались, я не замечал.
– HackerOne перестал работать с российскими багхантерами. Что в связи с этим изменилось в вашей работе? Как вы переживаете, так сказать, отлучение от HackerOne?
– Альтернатив HackerOne пока не много, но они начали появляться, в том числе и в России. Например, уже есть платформа BugBounty.ru, весной стартовала The Standoff 365 Bug Bounty, а да конца года, по слухам, появится еще одна-две. Это однозначно вовремя подоспевшее подспорье для российских «белых» хакеров. Однако я бы не стал говорить, что эти платформы интересны только потому, что закрылся HackerOne.
Некоторые из российских платформ предлагают уникальные задачи. Например, на The Standoff 365 Bug Bounty можно не только искать уязвимости, но и предлагать способы их использования в так называемых недопустимых событиях, хакерских атаках. Мне кажется, почувствовать в себя в шкуре киберпреступника – это довольно необычный опыт.
– Уверен, после прочтения этого интервью кто-нибудь да захочет податься в пентестеры. Можете дать какие-нибудь советы для начинают «белых» хакеров?
– Начинающий исследователь на первых порах может попытаться проверять чужие открытые репорты в других bug bounty программах, а потом находить аналогичные уязвимости и так зарабатывать. Поначалу я действовал именно так.
Впрочем, когда новичок наберется опыта, ему это наверняка станет неинтересно. Появится желание самому искать новые векторы атак и открывать то, о чем еще никто не догадался. Это как переход на следующий уровень.
Открыть безопасный и надежный бизнес стало проще
Открыть безопасный и надежный бизнес стало проще
QIWI Терминалы
Сегодня все больше людей предпочитают открывать собственный бизнес. Так человек может не только регулировать свое время и эффективность, но и зарабатывать в несколько раз больше, чем в рядовой компании. Конечно, трудности есть везде, однако если выбрать правильный бизнес, большинства из них можно избежать.
Существует ошибочное мнение, что, если у вас есть отличная идея для бизнеса, это уже гарантированный успех. Тем не менее, в реальности идея лишь 20% успеха, все остальное зависит от того, насколько грамотно будет выстроена работа, отлажены механизмы и продуманы шаги по развитию и дальнейшему росту. Без всего этого, скорее всего ваша бизнес-идея либо вообще не доживет до своего воплощения, либо прекратит существование, столкнувшись с реальными трудностями.
Если же вы уверены в том, что хотите начать собственный бизнес, но не знаете, сможете ли правильно выстроить все механизмы работы, то решением может стать присоединение к готовым бизнес-программам.
К примеру, агентская программа QIWI позволяет людям начать свой собственный бизнес на терминалах компании. Именно эти терминалы люди используют каждый день, чтобы пополнять баланс мобильного телефона и оплачивать другие услуги, ведь международная компания QIWI является партнером всех крупных компаний и банков Казахстана.
А знакомый интерфейс и понятный функционал в свою очередь позволяет гарантировать не только постоянное поступление платежей, но и их рост.
Программа QIWI позволяет всем желающим стать агентами и начать развивать свою сеть терминалов, либо стать партнером, объединившись с уже существующими агентами.
Став агентом, вы получаете собственный бизнес-актив в виде терминала и можете начать развивать свою сеть терминалов. Каждый второй казахстанец использует терминал для оплаты более 500 услуг каждый день, и с каждой оплаты вы получаете свою премию партнера компании.
Если же вы хотите начать бизнес без больших вложений, то можно стать партнером существующего агента – нужно лишь бесплатно зарегистрироваться в системе и дождаться предложения от агента. При этом вы также будете получать доход от платежей своих клиентов.
Когда дело касается технологичного бизнеса, важно понимать, что ключевую роль играет исправно работающая система. Организовать call-центр и квалифицированную службу поддержки — не самая простая задача для начинающего бизнесмена, тем не менее при покупке готового решения, все эти системы уже настроены.
Так, QIWI терминалы порой являются единственным средством пополнения платежей и оплаты услуг на целый населенный пункт, поэтому в них настроен самый мощный процессинг, позволяющий работать даже во время пиковых нагрузок. А call-центр и служба поддержки компании может обслуживать ваших клиентов.
Компания в свою очередь, готова помочь в решении юридических, финансовых, бухгалтерских и других вопросов, что особенно важно на ранней стадии развития бизнеса.
Кроме того, возможности развития бизнеса есть и в выборе локации. К примеру, вы видите, что город насыщен платежными терминалами, зато в селах и регионах чувствуется их нехватка.
Вы можете занять эту нишу и получать большие обороты, соответственно, и больший доход.
Чтобы стать агентом программы QIWI нужно выполнить несколько простых шагов:
Ознакомиться с правилами работы системы на русском или на казахском языке
Заполнить и подписать заявление о присоединении к договору о приеме платежей в трех экземплярах.
Приложить к заявлению перечень необходимых документов в зависимости от вашего типа бизнеса: ИП или ТОО.
Заполнить форму для регистрации терминалов, которая поясняет, где будут расположены терминалы.
Оставить заявку
Имея собственный бизнес, человек становится самостоятельнее и более организованным, так как именно от его решений и работы зависит то, какой доход он будет получать каждый месяц. При этом он может сам решать, когда и где ему работать, тем самым эффективнее используя собственное время.
| Проект «Всё проще» |
Подробнее на QIWI. kz |
Читайте также:
Казахстанцам стало еще проще оплачивать счета и услуги
Как не только успевать все, но и делать это в два раза быстрее, расскажет NUR.KZ и QIWI Казахстан.
Один маленький шаг – одна большая победа: Как начать помогать людям сегодня
NUR.KZ совместно с QIWI расскажет, как маленькие шаги навстречу могут привести к большим победам.
У казахстанцев появилась возможность копить деньги быстрее и проще
NUR.KZ и QIWI расскажут, как можно не только облегчить путь к цели, но и сделать его интереснее.
Сделать перевод на карту банка стало проще — QIWI Терминалы
Как покупать в интернете безопасно и выгодно? 3 простых шага
Онлайн-шоппинг не только экономит время, но и деньги.
Kiwi.com Flights API — Зарабатывайте на перелетах и перевозках
О Kiwi.com
Kiwi.com — ведущая компания в области технологий для путешествий со штаб-квартирой в Чешской Республике, имеющая десятилетний опыт работы в этой нише и миссию по улучшению путешествий.
Компания проводит более двух миллиардов проверок рейсов в день и является одним из самых быстрорастущих технологических предприятий в Центральной Европе.
Новаторский алгоритм Kiwi.com позволяет использовать виртуальные интерлайны — технологию, объединяющую рейсы более 800 авиакомпаний, включая те, которые обычно не координируют свои действия. Благодаря виртуальному интерлайну пользователи также могут найти поезда, автобусы, паромы и такси, чтобы организовать идеальную поездку.
Компания также предоставляет Гарантию Kiwi.com для защиты клиентов от пропущенных рейсов в случае задержек, изменений или отмен.
API рейсов Kiwi.com
Если вы хотите получать данные о рейсах из базы данных Kiwi.com для отслеживания статистики или для создания собственного сервиса или мобильного приложения для поиска авиабилетов, вы можете использовать API от Kiwi.com.
В частности, с помощью Flights API Kiwi.com вы можете искать местоположения по запросу, радиусу, коду аэропорта (IATA или ISO3166), хэштегам и другим параметрам.
Более того, с помощью API от Kiwi.com можно получать информацию о популярных направлениях, определять стоимость авиабилетов по городам или по датам, а также сортировать результаты поиска по городам.
Вот основные преимущества внедрения решения Kiwi.com Flights API в вашем блоге о путешествиях:
- Благодаря большому количеству типов запросов вы можете создавать различные приложения для своего бизнеса.
- Документация Simple API поможет разработчикам понять, как работают API, и позволит им точно настроить ваши приложения.
- Если возникнут вопросы, служба поддержки с радостью на них ответит.
- Вы можете получить партнерское вознаграждение в размере 3%, продвигая услуги Kiwi.com на своем сайте. Присоединиться к программе Kiwi.com можно в личном кабинете на Travelpayouts.
Как получить доступ к API рейсов Kiwi.com
API рейсов Kiwi.com доступен через партнерскую платформу Travelpayouts. Перед началом работы с API Kiwi.
com вам необходимо зарегистрироваться на платформе Travelpayouts, присоединиться к программе Kiwi.com и отправить запрос в нашу службу поддержки для получения доступа к API от Kiwi.com.
Как заработать больше на рейсах с помощью блога о путешествиях
Интеграция API — отличный способ получить доступ к данным о рейсах в режиме реального времени и отображать актуальную и достоверную информацию на своем веб-сайте. Однако одного этого решения недостаточно, чтобы вы могли зарабатывать деньги на своем блоге о путешествиях, поэтому вам необходимо рассмотреть методы монетизации. Например, вы можете монетизировать страницы своих проектов в социальных сетях. Они не могут интегрировать API, но могут стать источником дохода с помощью других партнерских инструментов, предлагаемых партнерскими программами. Обычно к таким инструментам относятся партнерские ссылки, виджеты и баннеры. Вы можете продвигать авиабилеты, отели, прокат автомобилей и другие туристические услуги, чтобы получать комиссионные за каждое бронирование, сделанное по их партнерской ссылке.
Вот некоторые из основных преимуществ монетизации вашего блога с помощью партнерских программ:
- Для старта вложений не требуется. Если у вас уже есть блог, просто добавьте партнерские ссылки к своему контенту и начните привлекать трафик. В противном случае есть множество бесплатных конструкторов сайтов, которые помогут вам начать вести блог о путешествиях без дополнительных вложений.
- Низкий риск и низкие текущие расходы. С партнерским маркетингом вам не нужно запускать новую производственную линию или каким-либо другим образом рисковать своими инвестициями. Вы всегда можете переключаться между партнерскими программами, если ваша текущая программа не находит отклика у вашей аудитории и т. д.
- Неограниченный заработок. Партнерский маркетинг основан на эффективности, поэтому чем больше бронирований вы побудите пользователей сделать, тем больше вы заработаете. Таким образом, партнерский маркетинг выгоден как бренду, так и партнеру.
Как правильно выбрать программу партнерского маркетинга? Учитывайте нишу вашего проекта, предпочтения вашей аудитории, типы трафика и контент, который вы производите.
Если вы решили использовать партнерские инструменты Kiwi.com, ознакомьтесь с партнерской программой бренда, которая позволяет зарабатывать 3% с каждой продажи авиабилетов. Однако, если вы хотите зарабатывать больше, попробуйте партнерскую программу WayAway через цифровую партнерскую платформу Travelpayouts. Программа предлагает инновационный поиск, который помогает путешественникам экономить и возвращать деньги на путешествия.
Уход
WayAway — это агрегатор путешествий для рейсов и других туристических услуг, который позволяет пользователям бронировать поездки по лучшим ценам и получать до 10% кэшбэка реальными деньгами за свои бронирования с планом членства WayAway Plus. WayAway, созданная экспертами Travelpayouts, является кульминацией десятилетнего опыта компании и направлена на улучшение и упрощение международных поездок.
Бренд также предлагает широкий спектр партнерских инструментов от формы поиска рейсов до виджета расписания, виджета календаря и многого другого! Все инструменты доступны на английском и испанском языках.
Присоединяйтесь к программе в личном кабинете Travelpayouts, разместите партнерские ссылки и инструменты на своем сайте или в блоге и начните получать комиссионные за каждую продажу, совершенную по вашей ссылке. Участие в программе бесплатное, процесс предварительного одобрения не требуется.
В отличие от 3% комиссионных, которые партнеры могут получать на Kiwi.com, партнерская программа WayAway обеспечивает 50% доли дохода и выплачивает 10 долларов США за каждую продажу членского плана WayAway Plus. Обе программы обеспечивают 30-дневный срок действия файлов cookie, но с WayAway вы также можете воспользоваться 180-дневным сроком действия файлов cookie для каждого пользователя, загружающего приложение.
50% доля дохода
30 дней время жизни куки
$10 за продажу WayAway Plus
Партнерская программа WayAway
Присоединяйся сейчас
Взимаемые и не взимаемые сборы — Kiwi Education
Леви и не Леви
Kiwi для бизнеса Будущий рост и развитие персонала сегодня
В Kiwi мы тесно сотрудничаем с работодателями всех типов и размеров, чтобы помочь вам нанимать новые таланты и развивать вашу рабочую силу, чтобы они могли добиться успеха на работе и реально изменить вас, их работодатель.
Большая часть того, что мы делаем, финансируется государством, наши услуги предоставляются вам, работодателю, за небольшую плату или бесплатно.
Полностью адаптирован к вашим потребностям в обучении. Мы создаем уникальную и коммерческую модель обучения, которая повысит ваш моральный дух и продуктивность. Забудьте о классе — мы доставляем прямо к вам на рабочее место.
Что такое Леви и что такое Леви?
Что отличает Kiwi Education, так это то, что мы работаем исключительно вокруг вашего бизнеса и руководствуемся коммерческим мышлением. Наши инструкторы профессионально компетентны и понимают проблемы, с которыми бизнес сталкивается каждый день. Наша работа заключается в поддержке развития вашей рабочей силы для обеспечения роста бизнеса организации.
Как мы доставляем
Вы можете потребовать деньги на развитие своих сотрудников
Если вы являетесь работодателем в сфере социального обеспечения для взрослых в Англии, вы можете потребовать от Фонда развития трудовых ресурсов (WDF) покрытия расходов ваших сотрудников на получение квалификаций по программе социального обеспечения для взрослых и программ обучения .
Имею ли я право?
Почему мы
Kiwi Education — это поставщик услуг профессионального обучения, базирующийся в Великобритании — лучшей стране для образования в 2019 году. Мы динамичная, отмеченная наградами и ориентированная на обучение компания, которая стремится создать мир, в котором каждый полностью раскрыл свой потенциал.
Что отличает Kiwi Education, так это то, что мы работаем исключительно вокруг вашего бизнеса и руководствуемся коммерческим мышлением. Наши инструкторы профессионально компетентны и понимают проблемы, с которыми бизнес сталкивается каждый день. Наша работа заключается в поддержке развития вашей рабочей силы для обеспечения роста бизнеса организации.
Большинство из них имели ученую степень
думали, что дополнительная квалификация сделает их более востребованными
Британские квалификации делают людей более трудоустроенными
Многим из них не хватает времени на обучение
ОТЗЫВЫ
Kiwi Education — это фантастическое учебное заведение, которое действительно уделяет внимание своим ученикам.
