Hansa – популярная в даркнете торговая площадка, где торгуют самыми разными нелегальными товарами, начиная от наркотиков и заканчивая ворованными банковскими картами. Конечно, операторы подобных ресурсов не могут обратиться в полицию, если их взломали, но желание как-то подстраховаться им не чуждо. Администрация сайта Hansa придумала интересный подход к решению данной проблемы – запустила собственную программу bug bounty.
Согласно официальному сообщению, опубликованному на Reddit, операторы торговой площадки готовы выплачивать вознаграждение хакерам, которые обнаружат на сайте какие-либо уязвимости. Максимальный размер такой «премии» может равняться 10 биткоинам (порядка 10 000 долларов США по текущему курсу), для этого нужно обнаружить уязвимости, позволяющие деанонимизировать пользователей Hansa. Другие, некритические проблемы разного рода будут стоить от 0,05 до 1 биткоина.
Условия bug bounty программы мало отличаются от аналогичных инициатив крупных компаний. Так, исследователь не должен разглашать информацию о проблеме до ее исправления, а также, помимо подробного отчета об уязвимости, стоит предоставить операторам площадки работающий proof-of-concept эксплоит. Кроме того, во время тестирования бага стоит воздерживаться от любых действий, которые могут неблагоприятно сказаться на пользователях сайта.
Такой подход действительно может иметь смысл. Достаточно вспомнить о проблемах другой подпольной торговой площадки, AlphaBay. Совсем недавно, в январе 2017 года стало известно, что из-за бага на AlphaBay личные сообщения пользователей мог прочитать любой желающий. Вероятно, bug bounty программа с хорошими призами поможет администрации Hansa избежать подобных проблем.
Фото: Bleeping Computer