Напишите нам
Ozon заплатит за ошибки
06 Июля 2020
Новости
Игорь Бахарев
Маркетплейс Ozon запустил публичную bug bounty программу на платформе HackerOne. Ритейлер будет сотрудничать с хакерским сообществом над поиском ошибок на своей платформе. Компания планирует планирует инвестировать в поиск багов более 3 млн рублей. Принять участие в программе bug bounty могут исследователи безопасности не только из России, но и из других стран мира.
Вознаграждение за каждый найденный баг зависит от степени его влияния на работу сервиса, потенциального урона, который уязвимость может нанести, качества отчета и других факторов. Так, например, за найденный XSS (cross-site scripting), Ozon может заплатить порядка 17 тысяч рублей, а за более серьезные - инъекции, удаленное выполнение кода (RCE) - до 120 000 рублей.
Для того, чтобы программисту, нашедшему ошибку, получить деньги, ему надо зарегистрироваться на HackerOne и прислать в Ozon репорт с описанием проблемы. В компании проверят обращение и отправят деньги в любую точку мира через платформу HackerOne.
Сейчас в IT-лаборатории Ozon работает более 1000 инженеров, а обновления сервисов и систем происходят ежедневно. На сайт и в приложение Ozon каждый день заходят 3,5 млн пользователей, и, конечно, как и другие крупные сервисы, компания представляет интерес для мошенников, запуск bug bounty станет еще одним процессом обеспечения безопасности инфраструктуры компании.
Вознаграждение за каждый найденный баг зависит от степени его влияния на работу сервиса, потенциального урона, который уязвимость может нанести, качества отчета и других факторов. Так, например, за найденный XSS (cross-site scripting), Ozon может заплатить порядка 17 тысяч рублей, а за более серьезные - инъекции, удаленное выполнение кода (RCE) - до 120 000 рублей.
Для того, чтобы программисту, нашедшему ошибку, получить деньги, ему надо зарегистрироваться на HackerOne и прислать в Ozon репорт с описанием проблемы. В компании проверят обращение и отправят деньги в любую точку мира через платформу HackerOne.
"Мы активно поддерживаем изменение культуры взаимодействия вендоров с исследователями безопасности в направлении более цивилизованного диалога. Bug bounty программа - это то, что является необходимым для современной интернет-компании, заботящейся об информационной безопасности, и, конечно, в ближайшие месяцы мы планируем расширять перечень сервисов для участия в программе, чтобы лучше взаимодействовать с сообществом хакеров", - рассказывает директор по информационной безопасности Ozon Александр Болотов.Запуск программы позволяет получить круглосуточный мониторинг безопасности, говорят в компании. При этом IT-лаборатория Ozon также будет трудиться над обеспечением безопасности сервисов ритейлера.
Сейчас в IT-лаборатории Ozon работает более 1000 инженеров, а обновления сервисов и систем происходят ежедневно. На сайт и в приложение Ozon каждый день заходят 3,5 млн пользователей, и, конечно, как и другие крупные сервисы, компания представляет интерес для мошенников, запуск bug bounty станет еще одним процессом обеспечения безопасности инфраструктуры компании.
Подписаться на новости
Прочитаете,
когда вам будет удобно
Свежий дайджест из мира
eCommerce у вас в почте
