За обнаружение уязвимостей Ozon будет платить пользователям
Крупный российский интернет-магазин Ozon сообщил о запуске на платформе HackerOne программы денежного вознаграждения за обнаружение ошибок и уязвимостей в работе своих онлайновых служб. Эта программа стала первой среди российских компаний в области электронной торговли, причем на первом этапе Ozon планирует инвестировать в работу с хакерским сообществом более 3 млн рублей.
Как отмечает площадка, принять участие в программе поиска уязвимостей могут специалисты по безопасности не только из России, но и из других стран. Вознаграждение за каждую обнаруженную дыру будет зависеть от степени влияния на работу службы, потенциального урона, качества отчета и других факторов. Например, за найденный XSS (cross-site scripting), Ozon может заплатить порядка 17 000?, а за более серьезные (например, инъекции, удаленное выполнение кода) - до 120 000?.
В Ozon полагают, что запуск программы позволит получить круглосуточный мониторинг безопасности и дополнит работу команды IT-лаборатории Ozon. Сейчас в этом отделе трудятся более 1000 инженеров, а сайтом и приложениями Ozon каждый день пользуются порядка 3,5 млн человек.
"Мы активно поддерживаем изменение культуры взаимодействия вендоров с исследователями безопасности в направлении более цивилизованного диалога. Программа Bug bounty - это то, что является необходимым для современной интернет-компании, заботящейся об информационной безопасности, и, конечно, в ближайшие месяцы мы планируем расширять перечень сервисов для участия в программе, чтобы лучше взаимодействовать с сообществом хакеров", - отметил директор по информационной безопасности Ozon Александр Болотов.
Серьезный подход к мерам усиления безопасности - отрадный шаг. К слову, в 2018 году Ozon допустила утечку свыше 450 тысяч электронных адресов и паролей пользователей. Программы по поиску уязвимостей имеются у многих ведущих мировых компаний в области информационных технологии, включая Amazon, Google, Facebook и так далее. В России собственные программы предлагают, например, Яндекс, Mail.ru и Qiwi.
