Ozon найдет уязвимости с помощью публичной программы bug bounty

Ozon станет первой российской e-commerce компанией, которая будет искать уязвимости в IT-структуре с помощью программы bug bounty. Программа запущена на платформе HackerOne – ведущей мировой площадке для компаний и исследователей безопасности по всему миру. Выплаты за обнаружение уязвимостей могут составлять до 120 тысяч рублей.

Ozon, ведущая мультикатегорийная онлайн-площадка, запустила публичную bug bounty программу на платформе HackerOne – ведущей мировой площадке для компаний и исследователей безопасности по всему миру.

Программа стала первой среди российских e-commerce компаний и на первом этапе планирует инвестировать в работу с хакерским сообществом более 3 млн рублей. Принять участие в программе bug bounty могут исследователи безопасности не только из России, но и из других стран мира.

Bug bounty программы есть у ведущих мировых IT-компаний, в том числе Amazon, Google, Facebook, однако в России эта практика пока не получила широкого распространения – собственные программы есть всего у нескольких компаний, например, Яндекс, Mail.ru, Qiwi. Запуск программы позволяет компаниям получить круглосуточный мониторинг безопасности, но не отменяет работу команды IT-лаборатории Ozon по обеспечению безопасности сервисов Ozon, а дополняет ее – сейчас у компании есть необходимые ресурсы не только для развития собственных служб безопасности, но и для работы с хакерским сообществом.

Вознаграждение за каждый найденный баг зависит от степени его влияния на работу сервиса, потенциального урона, который уязвимость может нанести, качества отчета и других факторов. Так, например, за найденный XSS (cross-site scripting), Ozon может заплатить порядка 17 тысяч рублей, а за более серьезные – инъекции, удаленное выполнение кода (RCE) – до 120 000 рублей.

Александр Болотов, директор по информационной безопасности Ozon: «Мы активно поддерживаем изменение культуры взаимодействия вендоров с исследователями безопасности в направлении более цивилизованного диалога. Bug bounty программа – это то, что является необходимым для современной интернет-компании, заботящейся об информационной безопасности, и, конечно, в ближайшие месяцы мы планируем расширять перечень сервисов для участия в программе, чтобы лучше взаимодействовать с сообществом хакеров».

Александр рассказал о том, что сейчас в IT-лаборатории Ozon работает более 1000 инженеров, а обновления сервисов и систем происходят ежедневно. На сайт и в приложение Ozon каждый день заходят 3,5 млн пользователей, и компания представляет интерес для мошенников. В этом контексте запуск bug bounty станет еще одним процессом обеспечения безопасности инфраструктуры компании.

***
Самые интересные новости читайте в наших группах в Facebook и VKontakte, а также на канале Яндекс.Дзен.

И подписывайтесь на рассылку самых важных новостей.

New Retail

08:00	Главное за неделю: Новый флагманский бренд «Пятёрочки», QBI вместо OBI, «Шоколадница» закрыла сеть «Ваби саби»
19:05	Как различаются подходы к ведению бизнеса у разных поколений
18:40	Количество свадебных салонов в России уменьшилось на 12%
Бизнес СТМ нового поколения: как строить бренды, которые приносят прибыль и укрепляют лояльность
18:15	Денис Кобялко из «Авито Путешествий» возглавит маркетинг в «Яндекс Доставке»
17:50	Kia оформила в РФ права на товарный знак новой модели бизнес-седана
17:25	«МегаФон» и «Почта Mail» фиксируют существенный рост мошеннических действий
Бизнес Потребительский экстремизм: раздутая тема или реальная проблема?
17:00	В Нью-Йорке осудили крупную группировку магазинных воров
16:35	Падение продаж новых легковых автомобилей за первое полугодие превысило 25%
16:10	«ОЧАКОВО» дополнил бренд-маскотами упаковку COOLCOLA
Кейсы Как БЫСТРОДЕЛ увеличил РТО на 2% для торговой сети «Фабрика качества»: эффективное управление и рост продаж за 1 месяц
15:45	В работе МТС и МГТС зафиксирован сбой
15:20	«Чек Индекс»: штучная реализация мороженого за полугодие выросла лишь на 2%
14:55	Вина Грузии в РФ продолжают отражать тенденции потребления времен СССР
Кейсы Как новая касса CSI s.kit поддержала требования «Дикси» к тиражу самообслуживания в магазинах
14:30	Выручка сети «ВинЛаб» за два года увеличилась на 70%
14:05	Только каждый десятый россиянин готов к зарплате в цифровых рублях
13:40	ФАС выдала предупреждение крупнейшему производителю соли в России
E-commerce Дайджест е-com: самые важные обновления для работы на маркетплейсах в июне
13:15	Wildberries запустит возможность размещения рекламы в ПВЗ через личный кабинет селлера
12:50	Темпы выхода новых брендов на российский рынок сократились вдвое
12:25	Holy Сorn и VK Музыка: новая коллаборация, посвященная книжному бестселлеру «Ониксовый шторм»!
Персоны От хаоса к эффективным логистическим стратегиям: как аутсорсинг ВЭД помогает бизнесу
12:00	«Вкусно – и точка» может выкупить бизнес-центр
11:35	«Магнит Косметик» открывает флагманский бьюти-стор в Москве (ФОТО)
11:10	ЦБ хочет ограничить период использования карт с истекшим сроком
Персонал Как гибкое управление помогает снижать текучку и масштабировать бизнес (опыт Dodo Brands)
10:45	Онлайн- и офлайн-розница объединились против скидок на Wildberries и Ozon
10:20	В Яндекс Еде появилась возможность бронирования столика во «Вкусно – и точка»
09:55	«Ростелеком» планирует создать собственный интернет-магазин
Бизнес Что скрывают отчёты клининга торговых площадей: 5 простых способов проверить работу на локации (чек-лист)
09:30	«Авито Тех» покупает аналитическую платформу Sigma
20:45	Общая сумма платежей за заказы с курьерской доставкой выросла на 13%
20:20	Бывший топ-менеджер ЦУМа возглавила маркетинг в «Авито Работа»
Бизнес Защита персональных данных в 2025: как работать с ПД за пределами России в соответствии с 152-ФЗ
19:55	Михаил Мишустин поручил ускорить процесс принятия закона о маркетплейсах
19:30	Сбербанк вновь привлек внимание ЦБ на финансовые «дочки» маркетплейсов
10:00	Хранение и возврат заказов в интернет-магазинах косметики в 2025 году

Лента Новостей

Ozon найдет уязвимости с помощью публичной программы bug bounty

Самое популярное