«Афиша» запускает программу поиска уязвимостей на платформе Standoff Bug Bounty
Компания «Афиша» официально объявила о запуске своей новой программы по поиску уязвимостей в рамках публичного багбаунти. Исследователям предлагается протестировать сайты, такие как «Афиша Daily» и «Еды.ру», и получить вознаграждения за найденные уязвимости через платформу Standoff Bug Bounty, разработанную Positive Technologies.
Таким образом, компания планирует повысить уровень безопасности своих проектов. Вознаграждения будут варьироваться в зависимости от степени критичности уязвимостей и могут составлять от 5 до 500 тысяч рублей.
«Ранее поиск уязвимостей на серверах компании «Афиша» осуществлялся в рамках монетизации партнеров – медиахолдинга Rambler&Co. Теперь мы решили выделить компанию в отдельную программу, что будет удобнее как „белым“ хакерам, так и нам самими. Кроме того, мы повысили выплаты за все виды уязвимостей, поэтому ожидаем привлечения еще большего числа специалистов с высококлассной экспертизой», — комментирует руководитель отдела проектной безопасности «Афиши» Константин Ермаков.
Программа багбаунти станет стандартом для крупных технологических и медиакомпаний, так как позволяет осуществлять непрерывный анализ безопасности сервисов силами независимых исследователей без ущерба для экономической эффективности.
«Подходы к управлению уязвимостями в компаниях эволюционируют. Все больше организаций, которые хотят защитить свои сервисы и данные пользователей, выбирают багбаунти как один из самых прогрессивных методов поиска уязвимостей. Он позволяет силами тысяч независимых исследователей с разным опытом и инструментами искать ошибки и платить только за результат», — говорит СРО Standoff Bug Bounty Анатолий Иванов.
Standoff Bug Bounty — платформа для поиска уязвимостей в системах компаний. По правилам программы компания размещает свои приложения или инфраструктуры в публичном или приватном доступе, чтобы проверить их надежность. Организация может перечислить конкретные уязвимости или события, которые нужно реализовать исследователям безопасности для получения вознаграждения. Задача исследователей — выявить уязвимости или реализовать недопустимое событие, после чего подготовить и отправить пошаговый отчет. Компания платит только в случае реализации конкретного события и сдачи отчета, который полностью описывает весь ход атаки. В рамках дополнительной услуги «триаж» (верификации уязвимостей) компаниям помогают проверить корректность отчета и дают рекомендации по устранению выявленной уязвимости. За 2 года существования программы было создано более 5000 отчетов об уязвимостях. На данный момент на платформе представлено более 60 программ в публичном доступе.
