Декоративное изображение
7 805

Поделиться

Ozon запустил bug bounty программу

Онлайн-ритейлер Ozon запустил публичную bug bounty программу (программа, предлагаемая многими веб-сайтами и разработчиками программного обеспечения, с помощью которой люди могут получить признание и вознаграждение за нахождение ошибок, особенно тех, которые касаются эксплойтов и уязвимостей) на платформе HackerOne. 

Ozon/ Arsenie Krasnevsky/ Shutterstock

Arsenie Krasnevsky/ Shutterstock

Программа стала первой среди российских e-commerce компаний и на первом этапе компания планирует инвестировать в работу с хакерским сообществом более 3 млн рублей. Принять участие в программе bug bounty могут исследователи безопасности не только из России, но и из других стран мира.

Bug bounty программы ­есть у ведущих мировых IT-компаний, в том числе Amazon, Google, Facebook, однако в России эта практика пока не получила широкого распространения — собственные программы есть всего у нескольких компаний, например, Яндекс, Mail.ru, Qiwi. Запуск программы позволяет компаниям получить круглосуточный мониторинг безопасности, но не отменяет работу команды IT-лаборатории Ozon по обеспечению безопасности сервисов Ozon, а дополняет ее — сейчас у компании есть необходимые ресурсы не только для развития собственных служб безопасности, но и для работы с хакерским сообществом.

Вознаграждение за каждый найденный баг зависит от степени его влияния на работу сервиса, потенциального урона, который уязвимость может нанести, качества отчета и других факторов. Так, например, за найденный XSS (cross-site scripting), Ozon может заплатить порядка 17 тысяч рублей, а за более серьезные — инъекции, удаленное выполнение кода (RCE) — до 120 000 рублей.

— Мы активно поддерживаем изменение культуры взаимодействия вендоров с исследователями безопасности в направлении более цивилизованного диалога. Bug bounty программа ­ — это то, что является необходимым для современной интернет-компании, заботящейся об информационной безопасности, и, конечно, в ближайшие месяцы мы планируем расширять перечень сервисов для участия в программе, чтобы лучше взаимодействовать с сообществом хакеров, — рассказывает Александр Болотов, директор по информационной безопасности Ozon.

Сейчас в IT-лаборатории Ozon работает более 1000 инженеров, а обновления сервисов и систем происходят ежедневно. На сайт и в приложение Ozon каждый день заходят 3,5 млн пользователей, и, как и другие крупные сервисы, компания представляет интерес для мошенников, запуск bug bounty станет еще одним процессом обеспечения безопасности инфраструктуры компании.

Ранее сообщалось о том, что Amazon заинтересовался Ozon.

Кроме того, две трети ассортимента Ozon представлены отечественными товарами.

Retail.ru

Декоративное изображение
Декоративное изображение
Retail.ru использует файлы cookie для хранения данных.
Продолжая использовать сайт, вы даёте согласие на работу с этими файлами