Российский онлайн-ритейлер Ozon пообещал денежное вознаграждение пользователям, которые найдут ошибки и уязвимости в работе сервисов площадки. Как сообщает ТАСС со ссылкой на пресс-службу компании, соответствующая публичная bug bounty программа на платформе HackerOne, являющейся ведущей мировой площадкой для исследователей безопасности по всему миру, уже запущена.
«Программа стала первой среди российских e-commerce компаний и на первом этапе планирует инвестировать в работу с хакерским сообществом более 3 млн рублей. Принять участие в программе bug bounty могут исследователи безопасности не только из России, но и из других стран мира», — отмечает Ozon.
Исходя из степени влияния того или иного найденного пользователем бага на работу сервиса, потенциального урона, качества отчета, а также ряда других факторов, будет определяться размер его вознаграждения. Например, за найденный XSS (cross-site scripting), компания обещает заплатить порядка 17 тыс. рублей, а за инъекции или удаленное выполнение кода (RCE), которые представляют более серьезную угрозу, — до 120 000 рублей.
При этом в Ozon подчеркивают, что, хотя запуск программы и позволит обеспечить круглосуточный мониторинг безопасности, работа IT-лаборатории продолжится - у компании есть все необходимые ресурсы как для развития собственных служб безопасности, так и для работы с хакерским сообществом.
«Мы активно поддерживаем изменение культуры взаимодействия вендоров с исследователями безопасности в направлении более цивилизованного диалога. Bug bounty программа - это то, что является необходимым для современной интернет-компании, заботящейся об информационной безопасности, и, конечно, в ближайшие месяцы мы планируем расширять перечень сервисов для участия в программе, чтобы лучше взаимодействовать с сообществом хакеров», — рассказал директор по информационной безопасности Ozon Александр Болотов.
В настоящий момент программы Bug bounty, позволяющие разработчикам обнаружить и устранить ошибки прежде, чем начнутся злоупотребления, используют такие ведущие IT-компании, как Amazon, Google, Facebook, «Яндекс», Mail.ru и другие.
Источники: ТАСС, пресс-служба Ozon
распечатать статью
