За обнаружение уязвимостей Ozon будет платить пользователям

Крупный российский интернет-магазин Ozon сообщил о запуске на платформе HackerOne программы денежного вознаграждения за обнаружение ошибок и уязвимостей в работе своих онлайновых служб. Эта программа стала первой среди российских компаний в области электронной торговли, причём на первом этапе Ozon планирует инвестировать в работу с хакерским сообществом более 3 млн рублей.

Как отмечает площадка, принять участие в программе поиска уязвимостей могут специалисты по безопасности не только из России, но и из других стран. Вознаграждение за каждую обнаруженную дыру будет зависеть от степени влияния на работу службы, потенциального урона, качества отчёта и других факторов. Например, за найденный XSS (cross-site scripting), Ozon может заплатить порядка 17 000 ₽, а за более серьёзные (например, инъекции, удалённое выполнение кода) — до 120 000 ₽.

В Ozon полагают, что запуск программы позволит получить круглосуточный мониторинг безопасности и дополнит работу команды IT-лаборатории Ozon. Сейчас в этом отделе трудятся более 1000 инженеров, а сайтом и приложениями Ozon каждый день пользуются порядка 3,5 млн человек.

«Мы активно поддерживаем изменение культуры взаимодействия вендоров с исследователями безопасности в направлении более цивилизованного диалога. Программа Bug bounty — это то, что является необходимым для современной интернет-компании, заботящейся об информационной безопасности, и, конечно, в ближайшие месяцы мы планируем расширять перечень сервисов для участия в программе, чтобы лучше взаимодействовать с сообществом хакеров», — отметил директор по информационной безопасности Ozon Александр Болотов.

Серьёзный подход к мерам усиления безопасности — отрадный шаг. Программы по поиску уязвимостей имеются у многих ведущих мировых компаний в области информационных технологии, включая Amazon, Google, Facebook и так далее. В России собственные программы предлагают, например, Яндекс, Mail.ru и Qiwi.

Источник: