Маркетплейс Ozon запустил публичную bug bounty программу на платформе HackerOne. Ритейлер будет сотрудничать с хакерским сообществом над поиском ошибок на своей платформе. Компания планирует планирует инвестировать в поиск багов более 3 млн рублей. Принять участие в программе bug bounty могут исследователи безопасности не только из России, но и из других стран мира.
Вознаграждение за каждый найденный баг зависит от степени его влияния на работу сервиса, потенциального урона, который уязвимость может нанести, качества отчета и других факторов. Так, например, за найденный XSS (cross-site scripting), Ozon может заплатить порядка 17 тысяч рублей, а за более серьезные - инъекции, удаленное выполнение кода (RCE) - до 120 000 рублей.
Для того, чтобы программисту, нашедшему ошибку, получить деньги, ему надо зарегистрироваться на HackerOne и прислать в Ozon репорт с описанием проблемы. В компании проверят обращение и отправят деньги в любую точку мира через платформу HackerOne.
"Мы активно поддерживаем изменение культуры взаимодействия вендоров с исследователями безопасности в направлении более цивилизованного диалога. Bug bounty программа - это то, что является необходимым для современной интернет-компании, заботящейся об информационной безопасности, и, конечно, в ближайшие месяцы мы планируем расширять перечень сервисов для участия в программе, чтобы лучше взаимодействовать с сообществом хакеров", - рассказывает директор по информационной безопасности Ozon Александр Болотов.
Запуск программы позволяет получить круглосуточный мониторинг безопасности, говорят в компании. При этом IT-лаборатория Ozon также будет трудиться над обеспечением безопасности сервисов ритейлера.
Сейчас в IT-лаборатории Ozon работает более 1000 инженеров, а обновления сервисов и систем происходят ежедневно. На сайт и в приложение Ozon каждый день заходят 3,5 млн пользователей, и, конечно, как и другие крупные сервисы, компания представляет интерес для мошенников, запуск bug bounty станет еще одним процессом обеспечения безопасности инфраструктуры компании.