МОСКВА, 6 июля. /ТАСС/. Российский онлайн-ретейлер Ozon запустил программу денежного вознаграждения пользователей за нахождение ошибок и уязвимостей в работе сервисов онлайн-площадки. Об этом говорится в сообщении компании.
"Онлайн-площадка Ozon запустила публичную bug bounty программу на платформе HackerOne - ведущей мировой площадке для компаний и исследователей безопасности по всему миру. Программа стала первой среди российских e-commerce компаний и на первом этапе планирует инвестировать в работу с хакерским сообществом более 3 млн рублей. Принять участие в программе bug bounty могут исследователи безопасности не только из России, но и из других стран мира", - говорится в сообщении.
Вознаграждение за каждый найденный баг будет зависеть от степени его влияния на работу сервиса, потенциального урона, который уязвимость может нанести, качества отчета и других факторов. Так, например, за найденный XSS (cross-site scripting), Ozon может заплатить порядка 17 тыс. рублей, а за более серьезные - инъекции, удаленное выполнение кода (RCE) - до 120 000 рублей.
Как отмечает компания, запуск программы позволит получить круглосуточный мониторинг безопасности, но не отменит работу команды IT-лаборатории Ozon по обеспечению безопасности сервисов Ozon, а дополнит ее. Сейчас в IT-лаборатории Ozon работает более 1000 инженеров, на сайт и в приложение Ozon каждый день заходят 3,5 млн пользователей. "Сейчас у компании есть необходимые ресурсы не только для развития собственных служб безопасности, но и для работы с хакерским сообществом", - отмечают в Ozon.
"Мы активно поддерживаем изменение культуры взаимодействия вендоров с исследователями безопасности в направлении более цивилизованного диалога. Bug bounty программа - это то, что является необходимым для современной интернет-компании, заботящейся об информационной безопасности, и, конечно, в ближайшие месяцы мы планируем расширять перечень сервисов для участия в программе, чтобы лучше взаимодействовать с сообществом хакеров", - заключил директор по информационной безопасности Ozon Александр Болотов, слова которого приводятся в сообщении.
Bug bounty программы есть у ведущих мировых IT-компаний, в том числе Amazon, Google, Facebook, в России собственные программы есть всего у нескольких компаний, например, у "Яндекс", Mail.ru, Qiwi.