bts merchandisebts shopbts sweatshirtbts clothesarmy bombbts official army bombbangtan bombbts army bomb ver 4bts army bomb ver 3bts army bombbts light stickbts official light stickbts light stick ver 4bts light stick ver 3bts dollsbt21 plushiesbts hoodiebts jacketbt21 hoodiebts shirt
TechFusion.ruКомпанииOzon заплатит хакерам за поиск багов и уязвимостей

Ozon заплатит хакерам за поиск багов и уязвимостей

Ozon Tech

Онлайн-ритейлер Ozon объявил о запуске публичной bug bounty программы на платформе HackerOne. Компания первой из российского интернет-ритейла инвестирует деньги в работу с хакерским сообществом. На начальном этапе на вознаграждения сторонних исследователей выделено 3 млн рублей

Bug Bounty программы довольно распространены среди крупных западных IT-компаний — они есть у Amazon, Google, Facebook и других. Смысл программ Bug bounty в том, что всевозможные «баги» и уязвимости в платформах ищут сторонние «белые» хакеры. Они помогают компаниям защитить свои продукты и получают за это денежные вознаграждения. В России такая практика пока не слишком распространена, но у нескольких крупных игроков IT-рынка есть собственные программы работы с хакерским сообществом — например, у «Яндекса», Mail.ru, Qiwi.

Среди российских онлайн-ритейлеров Ozon стала первой компанией, которая решилась выстраивать отношения с хакерами и выйти на HackerOne. Принять участие в программе bug bounty площадки смогут исследователи безопасности как из России, так и из других стран. Как объясняют в Ozon, программа позволит получить внешний мониторинг безопасности, при этом работа внутренней команды IT-лаборатории Ozon по обеспечению безопасности сервисов площадки продолжится. Запуск такой программы стал возможен, потому что накопились необходимые ресурсы не только для развития собственных служб безопасности, но и для работы с хакерским сообществом.

В IT-лаборатории Ozon работает более 1000 инженеров, а обновления сервисов и систем происходят ежедневно. При этом, по мнению директора по информационной безопасности Ozon Александра Болотова, bug bounty программа ­— это то, что необходимо современной интернет-компании, заботящейся об информационной безопасности. На сайт и в приложение площадки каждый день заходят 3,5 млн пользователей. Как и другие крупные сервисы, платформа представляет интерес для мошенников. Как рассказал Александр Болотов, в ближайшие месяцы площадка будет расширять перечень сервисов для участия в программе, чтобы лучше взаимодействовать с сообществом хакеров.

Сумма вознаграждения, которое будет выплачиваться внешним специалистам, зависит от степени критичности найденного бага и его влияния на работу сервиса. Например, за обнаруженный XSS (cross-site scripting) Ozon заплатит около 17 тысяч рублей. За более серьезные находки — например, удаленное выполнение кода (RCE) — до 120 000 рублей.