Ozon начнет платить деньги пользователям за нахождение уязвимостей

1039
Время чтения - 2 минуты
Узнайте, за сколько можно продать ваш долг в телеграм-чате Долг.рф

Российский онлайн-ретейлер Ozon объявил о запуске программы денежного вознаграждения пользователей за нахождение ошибок и уязвимостей в работе сервисов онлайн-площадки. Об этом сообщает ТАСС со ссылкой на сайт компании.

"Онлайн-площадка Ozon запустила публичную bug bounty программу на платформе HackerOne - ведущей мировой площадке для компаний и исследователей безопасности по всему миру. Программа стала первой среди российских e-commerce компаний и на первом этапе планирует инвестировать в работу с хакерским сообществом более 3 млн рублей. Принять участие в программе bug bounty могут исследователи безопасности не только из России, но и из других стран мира", - говорится в сообщении.

Деньги компания будет выплачивать за каждый найденный баг, а величина вознаграждения будет зависеть от степени его влияния на работу сервиса, потенциального урона, который уязвимость может нанести, качества отчета и других факторов. Например, за найденный XSS (cross-site scripting), Ozon может выплатить 17 тыс. рублей, если же баг будет еще серьезнее (инъекции, удаленное выполнение кода (RCE)), за них пользователь получит до 120 000 рублей.

Компания таким образом надеется обеспечить круглосуточную безопасность. При этом работа команды IT-лаборатории Ozon по обеспечению безопасности сервисов Ozon продолжится. Сейчас в лаборатории Ozon работает 1000 инженеров, на сайт и в приложение Ozon каждый день заходят 3,5 млн пользователей.

"Сейчас у компании есть необходимые ресурсы не только для развития собственных служб безопасности, но и для работы с хакерским сообществом", - отмечают в Ozon.

В компании подчеркнули, что активно поддерживают изменение культуры взаимодействия вендоров с исследователями безопасности в направлении более цивилизованного диалога. Bug bounty программа – это проект, который необходим для любой современной интернет-компании, которая беспокоится о собственной инфобезопасности.

Ozon намерен расширять перечень сервисов для участия в программе, чтобы лучше взаимодействовать с сообществом хакеров.

Аналогичные программы распространены у ведущих мировых IT-компаний, в том числе Amazon, Google, Facebook, в России собственные программы есть пока только у "Яндекс", Mail.ru, Qiwi.

 

Хотите продать долг? Разместите бесплатно объявление в телеграм-группе "Маркетплейс долгов"