Онлайн-ритейлер Ozon запустил публичную bug bounty программу (программа, предлагаемая многими веб-сайтами и разработчиками программного обеспечения, с помощью которой люди могут получить признание и вознаграждение за нахождение ошибок, особенно тех, которые касаются эксплойтов и уязвимостей) на платформе HackerOne.
Arsenie Krasnevsky/ Shutterstock
Программа стала первой среди российских e-commerce компаний и на первом этапе компания планирует инвестировать в работу с хакерским сообществом более 3 млн рублей. Принять участие в программе bug bounty могут исследователи безопасности не только из России, но и из других стран мира.
Bug bounty программы есть у ведущих мировых IT-компаний, в том числе Amazon, Google, Facebook, однако в России эта практика пока не получила широкого распространения — собственные программы есть всего у нескольких компаний, например, Яндекс, Mail.ru, Qiwi. Запуск программы позволяет компаниям получить круглосуточный мониторинг безопасности, но не отменяет работу команды IT-лаборатории Ozon по обеспечению безопасности сервисов Ozon, а дополняет ее — сейчас у компании есть необходимые ресурсы не только для развития собственных служб безопасности, но и для работы с хакерским сообществом.
Вознаграждение за каждый найденный баг зависит от степени его влияния на работу сервиса, потенциального урона, который уязвимость может нанести, качества отчета и других факторов. Так, например, за найденный XSS (cross-site scripting), Ozon может заплатить порядка 17 тысяч рублей, а за более серьезные — инъекции, удаленное выполнение кода (RCE) — до 120 000 рублей.
— Мы активно поддерживаем изменение культуры взаимодействия вендоров с исследователями безопасности в направлении более цивилизованного диалога. Bug bounty программа — это то, что является необходимым для современной интернет-компании, заботящейся об информационной безопасности, и, конечно, в ближайшие месяцы мы планируем расширять перечень сервисов для участия в программе, чтобы лучше взаимодействовать с сообществом хакеров, — рассказывает Александр Болотов, директор по информационной безопасности Ozon.
Сейчас в IT-лаборатории Ozon работает более 1000 инженеров, а обновления сервисов и систем происходят ежедневно. На сайт и в приложение Ozon каждый день заходят 3,5 млн пользователей, и, как и другие крупные сервисы, компания представляет интерес для мошенников, запуск bug bounty станет еще одним процессом обеспечения безопасности инфраструктуры компании.
Ранее сообщалось о том, что Amazon заинтересовался Ozon.
Кроме того, две трети ассортимента Ozon представлены отечественными товарами.
