Ozon открыл публичную программу поощрения исследователей безопасности за обнаруженные уязвимости на базе сервиса HackerOne — самой популярной в мире платформе. За найденную уязвимость Ozon заплатит хакерам до 120 000 рублей. Пока в программе участвует только сайт Ozon, но компания планирует подключить и другие сервисы и продукты.
Вознаграждение за каждый найденный баг зависит от степени его влияния на работу сервиса, потенциального урона, который уязвимость может нанести, качества отчета и других факторов. Традиционно уязвимости делятся на три типа, в зависимости от степени угрозы и возможного вознаграждения за их обнаружение. Так за найденные XSS (Сross-Site Scripting), CSRF (Cross Site Request Forgery), Ozon может заплатить порядка 17 тысяч рублей, а за более серьезные баги — инъекции, удаленное выполнение кода (RCE), SSRF — от 100 000 рублей.
Александр Болотов, директор по информационной безопасности Ozon:
— За последние несколько лет IT-инфраструктура, а вместе с ней и команда разработки Ozon, выросла в несколько раз. Сейчас Ozon — это огромная экосистема, состоящая из более чем 1000 микросервисов. Мы выступаем за изменение культуры взаимодействия вендоров с исследователями безопасности в направлении цивилизованного диалога.
Несмотря на то, что ни одного случая успешной атаки за время существования Ozon не зафиксировано, запуск bug bounty станет еще одним процессом обеспечения безопасности инфраструктуры компании.
Вознаграждение за каждый найденный баг зависит от степени его влияния на работу сервиса, потенциального урона, который уязвимость может нанести, качества отчета и других факторов. Традиционно уязвимости делятся на три типа, в зависимости от степени угрозы и возможного вознаграждения за их обнаружение. Так за найденные XSS (Сross-Site Scripting), CSRF (Cross Site Request Forgery), Ozon может заплатить порядка 17 тысяч рублей, а за более серьезные баги — инъекции, удаленное выполнение кода (RCE), SSRF — от 100 000 рублей.
Александр Болотов, директор по информационной безопасности Ozon:
— За последние несколько лет IT-инфраструктура, а вместе с ней и команда разработки Ozon, выросла в несколько раз. Сейчас Ozon — это огромная экосистема, состоящая из более чем 1000 микросервисов. Мы выступаем за изменение культуры взаимодействия вендоров с исследователями безопасности в направлении цивилизованного диалога.
Несмотря на то, что ни одного случая успешной атаки за время существования Ozon не зафиксировано, запуск bug bounty станет еще одним процессом обеспечения безопасности инфраструктуры компании.
anonymous
молодцы, перестраховываются