Прошлой осенью Якуб Циолек сообщил о двух ошибках типа “отказ в обслуживании” (denial-of-service) в Argo CD, популярном контроллере Kubernetes, через программу Internet Bug Bounty (IBB) от HackerOne. Обеим были присвоены CVE, и с тех пор они были исправлены. Однако, вместо получения вознаграждения в размере 8500 долларов за обнаруженные уязвимости, Циолек утверждает, что HackerOne просто игнорировала его в течение нескольких месяцев.
Программа bug bounty с открытым исходным кодом наконец связалась с Циолеком во вторник, но только после того, как The Register обратился к HackerOne с вопросом о статусе выплаты его вознаграждения и программе IBB в целом.
IBB от HackerOne — это краудфандинговая программа bug bounty, которая поощряет исследователей и мейнтейнеров находить и исправлять уязвимости в программном обеспечении с открытым исходным кодом, предлагая денежные выплаты из общего фонда. Любая организация, которая использует код с открытым исходным кодом для работы своей технологии или цепочек (другими словами: все), может внести свой вклад в фонд bug bounty.
После исправления уязвимостей, отслеживаемых CVE, программа автоматически вычитает средства и выплачивает вознаграждения, при этом 80 процентов вознаграждения идет хакеру, сообщившему об ошибке, а 20 процентов — проекту с открытым исходным кодом для финансирования исправления.
Так это должно работать, во всяком случае.
Когда исследователи вместо этого сталкиваются с молчанием – даже после выпуска CVE и выхода исправлений – это подрывает доверие ко всей модели
“Когда исследователи вместо этого сталкиваются с молчанием — даже после выпуска CVE и выхода исправлений — это подрывает доверие ко всей модели”, — сказал Циолек The Register. “Простое уведомление о том, что ‘программа неактивна’, было бы очень полезным. Игнорирование исследователей делает обратное”.
Две серьезные уязвимости типа “отказ в обслуживании” (CVE-2025-59538 и CVE-2025-59531) затрагивают Argo CD, инструмент непрерывной доставки GitOps для Kubernetes. В случае эксплуатации эти проблемы могут позволить удаленному злоумышленнику обрушить уязвимые экземпляры без какой-либо аутентификации.
Мейнтейнеры проекта с открытым исходным кодом исправили обе уязвимости в версиях 2.14.20, 3.2.0-rc2, 3.1.8 и 3.0.19, выпущенных 30 сентября, и отметили Циолека как сообщившего об уязвимостях.
Радиомолчание
С октября Циолек несколько раз пытался связаться с кем-либо в HackerOne, чтобы узнать, когда и получит ли он выплату, или была ли приостановлена программа IBB, несмотря на то, что она все еще указана как активная на веб-сайте. По словам Циолека, все эти запросы остались без ответа. Он также не новичок — на его счету около 20 раскрытий ошибок и две выплаты от этой программы bug bounty в прошлом году.
“Я отправил отчеты в HackerOne 30 октября 2025 года, как того требует процесс IBB”, — сказал он The Register. “С тех пор я неоднократно пытался получить подтверждение или обновление от HackerOne”.
Это включает в себя отправку сообщений через платформу 14 ноября, 19 ноября и 15 декабря, сказал он. Он также отправил электронное письмо на официальный адрес IBB (ibb@hackerone.com) 15 декабря и связался с сотрудником 22 декабря.
“Ни одна из этих попыток не получила ответа”, — сказал Циолек. “Согласно собственной странице IBB на HackerOne, последний решенный отчет, по-видимому, был примерно восемь месяцев назад”.
Однако, во вторник он получил электронное письмо от HackerOne с благодарностью за терпение, подтверждением того, что программа остается активной, и сообщением о том, что его отчеты об ошибках остаются “в ожидании обработки вознаграждения из-за временной операционной задержки”.
HackerOne сообщил Циолеку, что ожидает возобновления регулярных выплат вознаграждений к концу первого квартала или раньше.
Платформа bug bounty не ответила на запросы The Register.
Хотя похоже, что Циолек получит денежное вознаграждение за свое время и усилия, отсутствие коммуникации с исследователями по-прежнему представляет проблему.
“Программы bug bounty работают на доверии и ясности”, — сказал Циолек. “Если программа приостановлена, лишена финансирования или иным образом неактивна, это вполне понятно — но об этом необходимо сообщать”.
“Я хочу подчеркнуть, что я занимаюсь исследованием уязвимостей не только ради денег”, — добавил он. “Большинство моих находок не связаны с вознаграждениями. Но вознаграждения имеют значение: они помогают компенсировать время, затраченное на аудит, документирование и ответственное раскрытие проблем, и облегчают исследователям обоснование работы над проектами с открытым исходным кодом, которые в противном случае не имеют финансирования”.
Циолек также задается вопросом, не является ли мусор, созданный ИИ, по крайней мере, частично виноватым.
“Я подозреваю, что платформы также сталкиваются с повышенным уровнем шума, включая низкокачественные отправки на основе LLM или автоматизированные отправки”, — сказал он. “Но это делает оперативность в отношении действительных отчетов с высоким уровнем сигнала еще более важной, а не менее”. ®
Всегда имейте в виду, что редакции некоторых изданий могут придерживаться предвзятых взглядов в освещении новостей.
8/9
Автор – Jessica Lyons
