Oversecured запускается на самофинансировании в размере 1 миллиона долларов благодаря выплатам за найденные ошибки

Возможно, вы не слышали о Сергее Тошине, но вы должны знать о его работе.

Тошин, 24-летний исследователь безопасности из Москвы, специализируется в основном на безопасности мобильных приложений. Зная, как выглядят различные уязвимости мобильной безопасности, Тошин создал специальный сканер уязвимостей мобильных приложений для Android, чтобы быстро и автоматически находить уязвимости в коде приложения, сказал он TechCrunch.

Сканер работает, декомпилируя приложение Android и последовательно просматривая исходный код — как это сделал бы человек — и обнаруживая возможные недостатки в коде, в которых может находиться уязвимость. По словам Тошина, для этого требуется набор правил, которые эффективно описывают различные виды уязвимостей, и поиск уязвимого кода, который удовлетворяет этим условиям.

По завершении работы сканер выдает отчет с описанием уязвимостей в коде.

Именно с помощью этого сканера, который он разработал в течение последних двух лет, он смог ускорить процесс поиска ошибок.

«Принимая участие в программах вознаграждения за поиск ошибок, я просто загружаю приложение и копирую уязвимости, указанные в отчете», — сказал он.

В августе он раскрыл подробности уязвимости, которая позволяла вредоносным приложениям красть конфиденциальные данные пользователей из других приложений на том же устройстве. Две недели спустя он поделился подробностями об ошибке в приложении TikTok для Android, которая могла привести к взлому учетных записей пользователей.

Это всего лишь две из сотен ошибок безопасности, о которых он сообщил компаниям в рамках их программ поощрения поиска ошибок, позволяющих исследователям предупреждать компании о потенциальных проблемах, получая при этом деньги за свои исследования.

«Мне пришло в голову запустить стартап и начать помогать другим компаниям находить уязвимости в их мобильных приложениях», — говорит Тошин.

Так и была основана Oversecured. Но то, как Тошин финансировал свой стартап, было несколько нетрадиционным.

Что необычно в Oversecured, так это не то, что он финансируется собственными средствами основателя, а запущен на основе продукта, который уже эффективно окупился. Используя свой сканер, Тошин за год заработал более 1 миллиона долларов в виде вознаграждений за поиск ошибок, во многом благодаря программе вознаграждений Google, в которой компания  платит исследователям безопасности за ошибки, обнаруженные в приложениях Android, установленных на более чем на 100 миллионов устройств.

Oversecured пока не приносит прибыли, но Тошин пока не использовал венчурное финансирование. В настоящее время в компании работает пять разработчиков, а также дизайнеры и переводчики, и все усилия сосредоточены на создании и улучшении сканера.

Стартап пока поддерживает только сканирование приложений для Android. Тошин сказал, что сканер открыт для охотников за ошибками и исследователей безопасности, которые могут заплатить за сканирование каждого приложения — при этом пять сканирований будут осуществлены бесплатно.

Но Тошин делает большую ставку на то, чтобы позволить корпоративным клиентам покупать доступ к сканеру и интегрировать его со своими инструментами разработки. На прошлой неделе Oversecured запустила свое B2B-предложение, которое позволяет разработчикам приложений интегрировать сканер непосредственно в свои существующие процессы разработки приложений, чтобы находить ошибки во время программирования.

Тошин сказал, что корпоративные клиенты скоро получат поддержку сканирования исходного кода Swift для приложений iOS.

«Важно найти все», — говорит он.