TechFusion.ruКомпанииOzon заплатит хакерам за поиск багов и уязвимостей

Ozon заплатит хакерам за поиск багов и уязвимостей

Ozon Tech

Онлайн-ритейлер Ozon объявил о запуске публичной bug bounty программы на платформе HackerOne. Компания первой из российского интернет-ритейла инвестирует деньги в работу с хакерским сообществом. На начальном этапе на вознаграждения сторонних исследователей выделено 3 млн рублей

Bug Bounty программы довольно распространены среди крупных западных IT-компаний — они есть у Amazon, Google, Facebook и других. Смысл программ Bug bounty в том, что всевозможные «баги» и уязвимости в платформах ищут сторонние «белые» хакеры. Они помогают компаниям защитить свои продукты и получают за это денежные вознаграждения. В России такая практика пока не слишком распространена, но у нескольких крупных игроков IT-рынка есть собственные программы работы с хакерским сообществом — например, у «Яндекса», Mail.ru, Qiwi.

Среди российских онлайн-ритейлеров Ozon стала первой компанией, которая решилась выстраивать отношения с хакерами и выйти на HackerOne. Принять участие в программе bug bounty площадки смогут исследователи безопасности как из России, так и из других стран. Как объясняют в Ozon, программа позволит получить внешний мониторинг безопасности, при этом работа внутренней команды IT-лаборатории Ozon по обеспечению безопасности сервисов площадки продолжится. Запуск такой программы стал возможен, потому что накопились необходимые ресурсы не только для развития собственных служб безопасности, но и для работы с хакерским сообществом.

В IT-лаборатории Ozon работает более 1000 инженеров, а обновления сервисов и систем происходят ежедневно. При этом, по мнению директора по информационной безопасности Ozon Александра Болотова, bug bounty программа ­— это то, что необходимо современной интернет-компании, заботящейся об информационной безопасности. На сайт и в приложение площадки каждый день заходят 3,5 млн пользователей. Как и другие крупные сервисы, платформа представляет интерес для мошенников. Как рассказал Александр Болотов, в ближайшие месяцы площадка будет расширять перечень сервисов для участия в программе, чтобы лучше взаимодействовать с сообществом хакеров.

Сумма вознаграждения, которое будет выплачиваться внешним специалистам, зависит от степени критичности найденного бага и его влияния на работу сервиса. Например, за обнаруженный XSS (cross-site scripting) Ozon заплатит около 17 тысяч рублей. За более серьезные находки — например, удаленное выполнение кода (RCE) — до 120 000 рублей.