Авито стал первым заказчиком на платформе по поиску уязвимостей BI.ZONE Bug Bounty

На платформе BI.ZONE прошли предрегистрацию более 300 багхантеров. «Авито» станет первой компанией, которая разместит свою публичную программу bug bounty

Релиз платформы BI.ZONE Bug Bounty состоялся 25 августа в рамках международной конференции по практической кибербезопасности OFFZONE 2022. Платформу представили директор блока экспертных сервисов BI.ZONE Евгений Волошин и тимлид BI.ZONE Bug Bounty Сергей Колесников.

Первым заказчиком на платформе станет ИТ-компания «Авито». Руководитель продуктовой безопасности Валентин Лякутин поделился опытом публикации программ bug bounty и ожиданиями от работы с BI.ZONE Bug Bounty.

«Когда компания прибегает к услугам bug bounty, это говорит о серьезности подхода к безопасности и защите данных своих клиентов. Мы верим в BI.ZONE Bug Bounty как в передовую российскую разработку. «Авито» ожидает плодотворных результатов от использования этого инструмента. Сейчас наша компания преследует три основных цели использования платформы. Мы хотим масштабировать команду кибербезопасности, обогатить внутреннюю экспертизу по детектам и процессам работы с уязвимостями. Также мы рассчитываем, что платформа поможет привлечь независимых исследователей и дополнительно усилить продуктовую безопасность», — рассказал Валентин Лякутин.

BI.ZONE Bug Bounty — это хаб между компаниями и независимыми исследователями. На платформе организации размещают программы по поиску уязвимостей, в которых участвуют багхантеры.

«На глобальном рынке программы bug bounty уже доказали свою эффективность. Их число за последние три года выросло на треть по всему миру, а за прошлый год багхантеры обнаружили более 70 тысяч валидных уязвимостей. Если раньше bug bounty могли позволить себе только крупные организации, сегодня запустить такую программу может бизнес любого масштаба. Появление российской платформы делает участие в bug bounty еще доступнее», — говорит директор блока экспертных сервисов BI.ZONE Евгений Волошин.

Бизнесу платформа помогает повышать киберустойчивость и сотрудничать с независимыми исследователями. Также она позволит компаниям запускать публичное или приватное тестирование с оптимальными условиями и размерами вознаграждений, привлекать экспертов с разными подходами, а также снять с себя рутину верификации полученной информации об уязвимостях.

Багхантерам платформа дает возможность легально сообщать компаниям об уязвимостях, получать за это вознаграждения и выбирать наиболее удобные варианты зачисления средств. Также у исследователей будет учитываться рейтинг, накопленный на международных платформах.

Эксперты BI.ZONE будут содействовать в решении спорных вопросов между компаниями и исследователями. Также команда BI.ZONE планирует развивать комьюнити багхантеров.

«Один из главных принципов, на который мы ориентировались при создании платформы, — это прозрачность и удобство взаимодействия между компанией и независимыми исследователями. Поэтому разработкой занимались ребята, которые раньше сами были багхантерами, — говорит директор блока экспертных сервисов BI.ZONE Евгений Волошин. — Исследователи получат удобные инструменты для работы с отчетами и будут принимать выплаты от компаний любым способом: как физическое лицо, самозанятый или ИП. Бизнесу мы предлагаем гибкие настройки, которые сделают работу с полученными отчетами эффективнее».

В день презентации BI.ZONE Bug Bounty объявила, что запускает публичную программу bug bounty для самой платформы. Компания будет выплачивать независимым исследователям до 300 000 рублей в зависимости от критичности и вероятности использования обнаруженной уязвимости.

11