«Авито» увеличил максимальную награду за найденные в своих продуктах критические уязвимости. Сумма выплаты выросла до 500 тыс. рублей, сообщает пресс-служба компании.
Платформа стала одним из первых игроков российского рынка онлайн-коммерции, кто запустил собственную программу для багхантеров. Инициатива Bug Bounty позволяет компании поддерживать систему постоянного мониторинга рисков безопасности. С ее помощью команде удается оперативно закрывать уязвимости и минимизировать потенциальные потери. Размер вознаграждения за найденную уязвимость определяется десятками критериев, включая влияние бага на бизнес-платформы, сложность его исправления, широту аудитории, которую он может охватить, и другими.
Увеличение выплат багхантерам позволит привлечь больше внешних специалистов, чтобы сделать сервисы компании более безопасными для пользователей, особенно учитывая общий рост спроса на такие программы на рынке. В 2025 году «Авито» планирует увеличить затраты на кибербезопасность на 50% по сравнению с 2024 годом.
Все желающие багхантеры могут проверить безопасность всех мобильных и веб-приложений компании, а также любых доступных сервисов, размещенных на поддоменах *.avito.ru. Задача исследователей — находить ошибки в коде, которые влияют на безопасность сервисов. Например, слабые места, которые позволяют получить доступ к данным пользователей, платежной информации, важным файлам или повлиять на стабильную работу сайта.
«Программа Bug Bounty позволяет повысить уровень защищенности ресурсов компании. При этом развитие программ и увеличение выплат — важный шаг, который позволяет привлечь больше опытных независимых исследователей и повысить уровень защищенности ресурсов.
Мы видим растущий интерес крупных компаний к инвестициям в безопасность своих цифровых ресурсов. BI.ZONE Bug Bounty предоставляет бизнесу эффективный механизм выявления и устранения угроз, а багхантерам — вознаграждение за работу», — комментирует руководитель продукта BI.ZONE Bug Bounty Андрей Левкин.
Руководитель по информационной безопасности «Авито» Андрей Усенок добавляет, что помимо реализации вышеназванной программы, команда компании развивает систему защиты, которая внедряется с начальных стадий разработки. «На каждом этапе разработки продукта используются сканеры для проверки кода на наличие уязвимостей, а также проводятся ручные аудиты безопасности – специалисты имитируют потенциальные действия злоумышленников. Технические команды проходят обучение безопасной разработке. Такой комплексный подход позволяет создавать механизмы безопасности и поддерживать высокий уровень защиты сервисов «Авито» от взломов и утечек», — отмечает Андрей Усенок.