Первым шагом программы станет конкурс, в рамках которого в течение месяца, с 21 апреля по 20 мая 2014 года, будут приниматься сообщения о найденных уязвимостях. Результаты конкурса и имена (или псевдонимы) победителей будут объявлены 21 мая, после того как аналитики информационной безопасности Mail.Ru Group обработают все заявки.
Победитель конкурса, обнаруживший наиболее критичную уязвимость, получит 5 тыс. долларов, призы за второе и третье места составят 3 и 1,5 тысячи долларов соответственно. Остальные участники также будут поощрены — в зависимости от серьезности найденной проблемы их премия составит от 150 долларов и выше.
«Практика проведения конкурсов формата Bug Bounty отлично зарекомендовала себя во всем мире, поскольку помогает эффективно выявлять скрытые угрозы. Мы придаем большое значение вопросам безопасности данных наших пользователей и поэтому охотно получим обратную связь от хакерского сообщества. Мы считаем, это поможет сделать наши сервисы еще более надежными, — комментирует Анна Артамонова, вице-президент Mail.Ru Group, руководитель бизнес-подразделения Почта и портал. — У нашей программы есть и другая задача: мы хотим популяризировать идею важности информационной безопасности. Сегодня эта проблема может затронуть абсолютно каждого, что убедительно продемонстрировала недавно обнаруженная критическая уязвимость HeartBleed в OpenSSL. Кстати, вознаграждение за нее было выплачено именно через ресурс HackerOne».
По условиям конкурса, участники смогут рассказать об обнаруженных уязвимостях спустя три месяца после отправки сообщения. Таким образом Mail.Ru Group обязуется быстро исправить любые найденные ошибки и даст исследователю возможность получить свою долю славы.
Взаимодействие Mail.Ru Group и участников программы осуществляется на платформе авторитетного хакерского сообщества HackerOne. Через него будут отправляться все сообщения о найденных ошибках, а также производиться денежные выплаты. Платформа HackerOne позволяет участвовать в программе на анонимной основе.