E-commerce, интернет-магазины
Retail
6 июля 2020, 10:00 4724 просмотра

Ozon запустил bug bounty программу

Онлайн-ритейлер Ozon запустил публичную bug bounty программу (программа, предлагаемая многими веб-сайтами и разработчиками программного обеспечения, с помощью которой люди могут получить признание и вознаграждение за нахождение ошибок, особенно тех, которые касаются эксплойтов и уязвимостей) на платформе HackerOne. 

Ozon/ Arsenie Krasnevsky/ Shutterstock

Arsenie Krasnevsky/ Shutterstock

Программа стала первой среди российских e-commerce компаний и на первом этапе компания планирует инвестировать в работу с хакерским сообществом более 3 млн рублей. Принять участие в программе bug bounty могут исследователи безопасности не только из России, но и из других стран мира.

Bug bounty программы ­есть у ведущих мировых IT-компаний, в том числе Amazon, Google, Facebook, однако в России эта практика пока не получила широкого распространения — собственные программы есть всего у нескольких компаний, например, Яндекс, Mail.ru, Qiwi. Запуск программы позволяет компаниям получить круглосуточный мониторинг безопасности, но не отменяет работу команды IT-лаборатории Ozon по обеспечению безопасности сервисов Ozon, а дополняет ее — сейчас у компании есть необходимые ресурсы не только для развития собственных служб безопасности, но и для работы с хакерским сообществом.

Вознаграждение за каждый найденный баг зависит от степени его влияния на работу сервиса, потенциального урона, который уязвимость может нанести, качества отчета и других факторов. Так, например, за найденный XSS (cross-site scripting), Ozon может заплатить порядка 17 тысяч рублей, а за более серьезные — инъекции, удаленное выполнение кода (RCE) — до 120 000 рублей.

— Мы активно поддерживаем изменение культуры взаимодействия вендоров с исследователями безопасности в направлении более цивилизованного диалога. Bug bounty программа ­ — это то, что является необходимым для современной интернет-компании, заботящейся об информационной безопасности, и, конечно, в ближайшие месяцы мы планируем расширять перечень сервисов для участия в программе, чтобы лучше взаимодействовать с сообществом хакеров, — рассказывает Александр Болотов, директор по информационной безопасности Ozon.

Сейчас в IT-лаборатории Ozon работает более 1000 инженеров, а обновления сервисов и систем происходят ежедневно. На сайт и в приложение Ozon каждый день заходят 3,5 млн пользователей, и, как и другие крупные сервисы, компания представляет интерес для мошенников, запуск bug bounty станет еще одним процессом обеспечения безопасности инфраструктуры компании.

Ранее сообщалось о том, что Amazon заинтересовался Ozon.

Кроме того, две трети ассортимента Ozon представлены отечественными товарами.

Retail.ru

Логотип Ozon Ozon

Ozon — российский интернет-магазин, предоставляющий своим покупателям более 5 млн пози...

Подробнее о компании
Статья относится к тематикам: E-commerce, интернет-магазины, Retail
Источник: Retail.ru
Подписывайтесь на наши новостные рассылки, а также на каналы  Telegram  и  Яндекс.Дзен , чтобы первым быть в курсе главных новостей Retail.ru.
Загрузка

Онлайн-ритейлер Ozon запустил публичную bug bounty программу (программа, предлагаемая многими веб-сайтами и разработчиками программного обеспечения, с помощью которой люди могут получить признание и вознаграждение за нахождение ошибок, особенно тех, которые касаются эксплойтов и уязвимостей) на платформе HackerOne. 

Ozon/ Arsenie Krasnevsky/ Shutterstock

Arsenie Krasnevsky/ Shutterstock

Программа стала первой среди российских e-commerce компаний и на первом этапе компания планирует инвестировать в работу с хакерским сообществом более 3 млн рублей. Принять участие в программе bug bounty могут исследователи безопасности не только из России, но и из других стран мира.

Bug bounty программы ­есть у ведущих мировых IT-компаний, в том числе Amazon, Google, Facebook, однако в России эта практика пока не получила широкого распространения — собственные программы есть всего у нескольких компаний, например, Яндекс, Mail.ru, Qiwi. Запуск программы позволяет компаниям получить круглосуточный мониторинг безопасности, но не отменяет работу команды IT-лаборатории Ozon по обеспечению безопасности сервисов Ozon, а дополняет ее — сейчас у компании есть необходимые ресурсы не только для развития собственных служб безопасности, но и для работы с хакерским сообществом.

Вознаграждение за каждый найденный баг зависит от степени его влияния на работу сервиса, потенциального урона, который уязвимость может нанести, качества отчета и других факторов. Так, например, за найденный XSS (cross-site scripting), Ozon может заплатить порядка 17 тысяч рублей, а за более серьезные — инъекции, удаленное выполнение кода (RCE) — до 120 000 рублей.

— Мы активно поддерживаем изменение культуры взаимодействия вендоров с исследователями безопасности в направлении более цивилизованного диалога. Bug bounty программа ­ — это то, что является необходимым для современной интернет-компании, заботящейся об информационной безопасности, и, конечно, в ближайшие месяцы мы планируем расширять перечень сервисов для участия в программе, чтобы лучше взаимодействовать с сообществом хакеров, — рассказывает Александр Болотов, директор по информационной безопасности Ozon.

Сейчас в IT-лаборатории Ozon работает более 1000 инженеров, а обновления сервисов и систем происходят ежедневно. На сайт и в приложение Ozon каждый день заходят 3,5 млн пользователей, и, как и другие крупные сервисы, компания представляет интерес для мошенников, запуск bug bounty станет еще одним процессом обеспечения безопасности инфраструктуры компании.

Ранее сообщалось о том, что Amazon заинтересовался Ozon.

Кроме того, две трети ассортимента Ozon представлены отечественными товарами.

Retail.ru

Ozon запустил bug bounty программу
https://www.retail.ru/local/templates/retail/images/logo/login-retail-big.png 243 67
Ozon запустил bug bounty программу
https://www.retail.ru/local/templates/retail/images/logo/login-retail-big.png 243 67
SITE_NAME https://www.retail.ru
https://www.retail.ru/news/ozon-zapustil-bug-bounty-programmu-6-iyulya-2020-195684/2020-10-28


public-4028a98f6b2d809a016b646957040052