В прошлом материале мы затронули тему Bug Bounty — программ вознаграждения за найденные уязвимости. Они помогают вывести поиск багов из серой зоны деятельности в более легальную, снижая тем самым риски для багхантера. Теперь мы изучим, как для него самого это выглядит с юридической стороны.
 

Что такое Bug Bounty и как появились такие программы?

Сначала определимся с терминами. Bug Bounty — это программа (а порой и комплекс мероприятий), которую владелец продукта проводит для привлечения сторонних исследователей к поиску уязвимостей. Нужно это для того, чтобы устранить уязвимости и улучшить качество и безопасность продукта.

Если верить «Кобальту», история Bug Bounty началась в 1995 году, когда в октябре фирма Netscape анонсировала программу поиска уязвимостей в Netscape Navigator 2.0 Beta. Сам термин придумал инженер техподдержки Netscape Джарретт Ридлинхафер (Jarrett Ridlinghafer). Такой шаг навстречу сторонним исследователям был оценен сообществом, ведь стало возможно легально зарабатывать, сотрудничая с разработчиками браузера. Но другие производители софта не поддержали эту инициативу, и поэтому программы Bug Bounty как явление еще долго не были широко распространены. В 2007 году стартовал конкурс Pwn2Own, но настоящая популярность ждала Bug Bounty в 2010-е годы.

 

В чем плюсы Bug Bounty?

Если программы подобного рода получают широкое распространение, значит, они имеют немало достоинств, так? В целом да. Во-первых, экономическая сторона вопроса. Привлекать внешних исследователей может быть дешевле, чем содержать штат своих. За те деньги, что выплачиваются участникам Bug Bounty, можно получить информацию об уязвимостях такого объема, который зачастую нельзя ожидать от штатных специалистов. При этом, конечно, не стоит забывать, что сотрудники, которые проверяют репорты и принимают решения о выплате вознаграждения, должны обладать достойным уровнем знаний и уметь отделять зерна от плевел среди поступающей информации.

В числе внешних исследователей к тому же может оказаться и какой-нибудь высококлассный специалист, который парой своих находок и репортов сэкономит огромное количество денег, нервов, сил и времени, но которого по тем или иным причинам компания не в состоянии нанять в качестве сотрудника.

Важна также скорость и эффективность выявления уязвимостей. Если в штате компании таких специалистов пять-десять, а Bug Bounty подключает к работе над вашим продуктом сразу еще человек пятьдесят-сто, то наверняка работа пойдет быстрее и результативнее.

Понятно, что у таких программ есть и минусы. Информация о выявленных уязвимостях может оказаться в общем доступе до того, как их залатают. Однако не будем на этом останавливаться, так как цель статьи — рассмотреть Bug Bounty с юридической стороны, а не с экономической или организационной.

 

Какие бывают виды Bug Bounty?

Если говорить простым языком, то Bug Bounty устанавливает правила игры между владельцем программного продукта (объекта исследования) и сторонним исследователем, который будет изучать объект и находить уязвимости. Эти правила могут различаться по объему и содержанию, и даже сам формат может быть разным. Чаще всего встречаются такие варианты:

  • оферта (в том числе публичная оферта);
  • конкурс;
  • публичное обещание награды;
  • прямое соглашение (договор) между владельцем и конкретными исследователями.

Каждый из вариантов имеет свои юридические особенности, которые могут повлечь за собой различные юридические последствия. Поэтому об их тонкостях полезно знать любому багхантеру.

Обрати внимание, что мы говорим о российском законодательстве, поэтому некоторые мои комментарии справедливы только для программ Bug Bounty, которые проводятся в России (см. например, правила «Яндекса» и Газинформсервиса). Нормы законов могут отличаться от страны к стране, но общие принципы в немалом количестве случаев будут похожими. Так что приведенная здесь информация наверняка поможет тебе сориентироваться.

 

Что представляет собой Bug Bounty как оферта?

Юридическое определение термина оферты приведено в статье 435 Гражданского кодекса РФ:

 

Статья 435. Оферта

  1. Офертой признается адресованное одному или нескольким конкретным лицам предложение, которое достаточно определенно и выражает намерение лица, сделавшего предложение, считать себя заключившим договор с адресатом, которым будет принято предложение. Оферта должна содержать существенные условия договора.
  2. Оферта связывает направившее ее лицо с момента ее получения адресатом.

Если извещение об отзыве оферты поступило ранее или одновременно с самой офертой, оферта считается не полученной.

Проще говоря, оферта — это конкретное предложение от инициатора к одному или нескольким лицам (человеку или компании, без разницы) сделать что-либо определенным образом. В случае с Bug Bounty это предложение владельца ПО к конкретным багхантерам поискать уязвимости в определенные сроки и (возможно) за определенное вознаграждение. При этом условия для всех равны. Допустим, владелец направил свои условия и правила тестирования на почту багхантеру — это значит, он сделал ему оферту. Если тот принял предложение, то это будет считаться акцептом оферты (то есть ее принятием).

 

Что такое публичная оферта?

Когда предложение организатора поучаствовать в его Bug Bounty адресовано не определенным лицам, а любому, кто пожелает испытать свои силы в поиске (то есть неограниченному кругу лиц), это уже будет считаться не просто офертой, а публичной офертой. И про эту оферту говорит уже пункт 2 статьи 437 ГК РФ:

 

Статья 437. Приглашение делать оферты. Публичная оферта

  1. <…>
  2. Содержащее все существенные условия договора предложение, из которого усматривается воля лица, делающего предложение, заключить договор на указанных в предложении условиях с любым, кто отзовется, признается офертой (публичная оферта).

Возьмем для примера программу Bug Bounty фонда Mozilla. В ее тексте нет ограничения относительно того, кто может участвовать в программе по ловле багов. То есть это публичная оферта, так как она адресована неограниченному кругу лиц. Другой пример — лаконичные условия Bug Bounty «Лаборатории Касперского»:

All researchers are welcome to participate.

Это тоже позволяет считать программу «Лаборатории Касперского» публичной офертой. Обрати внимание, что у компаний нередко встречаются ограничения по кругу потенциальных участников (подсмотрено у Uber):

You are not eligible to participate in the Bug Bounty Program if you are: (i) a resident of, or make your Submission from, a country against which the United States has issued export sanctions or other trade restrictions (e.g., Cuba, Iran, North Korea, Sudan and Syria); (ii) employed by Uber Technologies, Inc. or any of its affiliates; (iii) an immediate family member of a person employed by Uber Technologies, Inc. or any of its affiliates; or (iv) less than 18 years of age.

Первое ограничение (по странам) характерно для американских компаний, которым приходится соблюдать строгое экспортное законодательство и введенные экономические санкции, которые затрагивают в том числе и подобную деятельность.

Второй пункт — запрет участвовать в программе сотрудникам Uber. Это требование вытекает из общей логики Bug Bounty. Без него объективность условий программы будет под сомнением, а инсайдеры окажутся в более выгодных условиях, чем сторонние багхантеры. С теми же соображениями связан и третий пункт — запрет на участие членам семей сотрудников.

В общем, тексты Bug Bounty, опубликованные в открытом доступе и не адресованные кому-то из исследователей персонально, можно расценивать как оферты.

Продолжение статьи доступно только подписчикам

Вариант 1. Оформи подписку на «Хакер», чтобы читать все статьи на сайте

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта, включая эту статью. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке

Вариант 2. Купи одну статью

Заинтересовала статья, но нет возможности оплатить подписку? Тогда этот вариант для тебя! Обрати внимание: этот способ покупки доступен только для статей, опубликованных более двух месяцев назад.


1 комментарий

Подпишитесь на ][, чтобы участвовать в обсуждении

Обсуждение этой статьи доступно только нашим подписчикам. Вы можете войти в свой аккаунт или зарегистрироваться и оплатить подписку, чтобы свободно участвовать в обсуждении.

Check Also

В Foxit Reader обнаружены две 0-day уязвимости

В популярном приложении для работы с PDF-файлами, Foxit Reader, обнаружили сразу двери кри…