29 metų M.Liudavičius nuo seno domėjosi ne tik programavimu, bet ir saugumu kibernetinėje erdvėje. Tačiau ilgai tokia veikla buvo daugiau savo smalsumo tenkinimas, o realios finansinės naudos nenešė. Tik pernai gegužę, kai šeštadienio rytą dar vartydamasis lovoje internete aptiko informacijos, kad kai kurios užsienio kompanijos už aptiktas sistemų klaidas žada atsidėkoti, M.Liudavičius pagalvojo, kad iš savo pomėgio gali gauti naudos.
„Tada atsikėliau, įsijungiau „Facebook“, pasižiūrėjau jų saugumo sistemas ir maždaug per valandą suradau klaidą bei iškart apie ją pranešiau“, – prisimena programuotojas.
Turėjo laiku sustoti
M.Liudavičiaus aptikta klaida buvo gana reikšminga – jis nustatė, kad įmanoma nesunkiai įsilaužti į „Facebook“ serverius ir pagrobti juose esančią informaciją.
„Mano rastas pažeidžiamumas buvo ne visai standartinis. O rezultatas? Taip, būtų buvę galima skaityti bylas. Ką konkrečiai, aš netikrinau, nes bet koks įsilaužimas būtų buvęs laikomas įstatymų pažeidimu“, – paaiškino M.Liudavičius.
Lietuvoje dažnas atvejis, kad įmonė į sistemos sukūrimą investuoja milijoną litų, bet į saugumą – nė cento.
„Facebook“ numato, kad mažiausiai 442 eurų premijos skiriamos tik tiems programišiams, kurie praneša apie pažeidžiamumą, tačiau iki tol niekur informacijos apie nesaugumą neskelbia. Taip pat premija nebūtų skiriama, jei aiškinantis saugumo spragas būtų realiai įsilaužta į sistemas.
Kompanija „Facebook“, skirdama premijas, apskaičiuoja maksimalią žalą, kurią ji galėjo patirti, jei kas nors būtų pasinaudojęs sistemos klaida, ir tą sumą skiria saugumo spragą aptikusiam asmeniui.
„Todėl aš, kad nenusižengčiau įstatymams, turėjau sustoti tuo momentu, kai pastebėjau, kad galiu įsilaužti. Jei būčiau paskaitęs kažkokius duomenis, tai jie turėtų teisę kelti man bylą. Tai toks slidus reikalas“, – pasakojo apdovanotas programuotojas.
Reagavo akimirksniu
Išsiuntusiam pranešimą apie saugumo spragą M.Liudavičiui neteko ilgai laukti atsakymo. Nepaisant to, kad JAV ir Lietuvoje rytas aušta skirtingu metu, apie tai, kad pranešimas registruotas, atsakymas buvo atsiųstas po kelių valandų.
Beveik iškart po to buvo pranešta, kad klaidą tikrina „Facebook“ sistemų inžinieriai. Tai truko beveik parą.
„Tada gavau pranešimą, kad mano pranešimas pasitvirtino – spraga yra. Po poros valandų gavau dar vieną pranešimą, kad klaida ištaisyta, ir prašymą pačiam tai patikrinti pakartotinai. Pažiūrėjęs pamačiau, kad pataisyta. Sulaukiau padėkos ir paaiškinimo, kad apie apskaičiuotą atlygį būsiu netrukus informuotas“, – pasakojo programuotojas.
Iš „Twitter“ M.Liudavičius gavo 357 eurų premiją.
Sumą, kuria yra apdovanojamas, M.Liudavičius sužinojo po savaitės. Pinigai pasiekė jo sąskaitą po dviejų mėnesių, nes buvo kilę administracinių keblumų.
„Twitter“ apdovanojo 357 eurais
Tokio pat pobūdžio saugumo spragą M.Liudavičius po kelių mėnesių aptiko ir kito populiaraus socialinio tinklo „Twitter“ sistemoje. Šiai įmonei programuotojas taip pat pranešė apie pažeidžiamumą.
Į jo pranešimą „Twitter“ taip pat sureagavo nedelsdama. Tiesa, premija, kurią ši kompanija skyrė M.Liudavičiui, buvo gerokai kuklesnė. Iš „Twitter“ jis gavo 357 eurus.
Du didžiausi socialiniai tinklai kol kas yra vienintelės užsienyje veikiančios įmonės, kurių sistemų saugumą tikrino M.Liudavičius.
„Iš patirties Lietuvoje buvau susidaręs įspūdį, kad niekas to nevertina, tačiau paskaičiau daugiau, kad yra tokių, kurios vis dėlto moka pinigus, ir pirmas šūvis pakliuvo taiklus“, – nesureikšmina savo laimėjimų programuotojas.
Iš „Facebook“ gautą premiją jis ketina išleisti gegužę planuojamoms savo vestuvėms.
Sistemai – milijonai, saugumui – nulis
„Facebook“ pateikiamoje informacijoje teigiama, kad tokios premijos gali būti skiriamos tik pavieniams programišiams. Nors save pirmiausia vadina programuotoju, M.Liudavičius tvirtina, kad šiuo atveju būti pavadintam programišiumi jam netgi savotiškai malonu.
„Tai labai smagu netgi yra. Pirmiausia, džiugina tai, kad šios istorijos kontekste saugumui internete skiriamas dėmesys. Dažnai rašoma, kad programuotojų trūksta, kad jie paklausūs, kad daug įmonių Lietuvoje kuriama, tačiau praktika rodo, kad saugumui dėmesio tikrai skiriama per mažai“, – sako jis.
Anot M.Liudavičiaus, į sistemas Lietuvoje investuojama labai daug, tačiau elementarioms saugumo priemonėms pataupoma.
„Lietuvoje dažnas atvejis, kad įmonė į sistemos sukūrimą investuoja milijoną litų, bet į saugumą – nė cento. Derėtų apie tai susimąstyti, nes ta investicija gali žlugti akimirksniu“, – pastebi pašnekovas.
Iš Lietuvos įmonių daugių daugiausia esu gavęs viskio butelį, o valstybinės tai apskritai niekaip nesureaguodavo į pranešimus apie klaidas.
M.Liudavičius neslepia pats pamėginęs patikrinti ne vieną valstybinę ir privačią Lietuvoje kurtą sistemą. Dalis jų pasirodė pažeidžiamos.
„Aš šia sritimi nuo seno domiuosi. Esu ne vieną Lietuvoje veikiančią įmonę ar instituciją informavęs taip pat, kaip dabar parašiau „Facebook“ ir „Twitter“, tačiau tik privačios įmonės sugebėdavo bent padėkos laiškus atsiųsti, daugių daugiausia esu gavęs viskio butelį, o valstybinės tai apskritai niekaip nesureaguodavo į pranešimus apie klaidas“, – tvirtino jis.
Programišiams išdalijo milijoną
Kaip jau rašė 15min.lt, išvis „Facebook“ pernai atsilyginimo už pranešimus apie klaidas programai išleido 1,1 mln eurų. Premijas gavo šimtai žmonių iš viso pasaulio.
Šią premijų programą „Facebook“ pradėjo vykdyti 2011 m. Tokiu būdu kompanija siekė paskatinti radusius klaidų ar saugumo spragų IT specialistus verčiau apie jas pranešti kompanijai, o ne jomis pasinaudoti. Mažiausia suma, kurią „Facebook“ žada už pranešimą, – 442 eurai.
Vien pernai „Facebook“ gavo 17 tūkst. pranešimų – 16 proc. daugiau, nei 2013 m.
Vidutinė premija programišiui pernai siekė 3,6 tūkst. eurų, tačiau kai kuriems asmenims išmokėtos sumos buvo keliskart didesnės. Didžiausia premija 2014 m. buvo sumokėta M.Liudavičiui.
Didesnės nei vidutinės premijos taip pat buvo išmokėtos programišiams iš Egipto, JAV, Filipinų ir Didžiosios Britanijos.