Ozon начнёт платить пользователям до 120 тысяч рублей за поиск уязвимостей на сайте ритейлера Статьи редакции
На первом этапе компания планирует инвестировать в проект более 3 млн рублей.
- Ozon запустил публичную bug bounty программу на платформе HackerOne для сбора информации об уязвимостях и награждения «белых» хакеров. Об этом vc.ru рассказал представитель маркетплейса.
- На первом этапе компания планирует инвестировать в проект более 3 млн рублей. В программе могут принять участие исследователи безопасности из России и других стран.
- Вознаграждение для «белых» хакеров за каждый найденный баг зависит от его влияния на работу сервиса, потенциального урона, качества отчёта и других факторов, уточнили в компании. Например, за найденный XSS (cross-site scripting), Ozon может заплатить 17 тысяч рублей, а за более серьезные — инъекции, удаленное выполнение кода (RCE) — до 120 тысяч рублей.
- В Ozon уточнили, что запуск программы не отменяет работу ИТ-лаборатории маркетплейса по обеспечению безопасности сервисов компании.
- Bug bounty программы в России есть также у «ВКонтакте», «Тинькофф», «Лаборатории Касперского», «Азбуки вкуса» и других компаний.
0
показов
6.8K
открытий
Комментарий недоступен
Как пить дать
Вроде бы компании обычно дают вознаграждение, чтобы уязвимости выгоднее было продать им, а не на открытом рынке, поэтому опций много.
Ну SLA не Озон изобрели, везде так
У меня там друг работает программистом, буду говорить чтобы специально коряво кодил, а кэш потом вместе будем делить
А потом они посмотрят, кто так косячит (а это всегда будут смотреть) и будете другу искать новую работу.
Надо еще код ревью и статич. анализ кода пройти
120 тысяч это меньше 2к$. Понятно, что в РФ нет столько бабла, как в штатах, но это же копейки для баг-баунти.
Ну лучше, чем ничего, как говорится. Люди, которым мало, могут другие сайты ломать. А кому вроде и неплохо - поломают этот. Тут самое главное, чтоб не было "ой, а это не баг, а фича, вот вам 0 рублей, это наше лучшее предложение"
Mail.ru глянь программу, у них все хорошо с этим, хотя и Россия
Комментарий недоступен
будут говорить что они витрина (: и не могут выплатить вам финансы, трясите с программистов
То есть нанять команду вменяемых тестировщиков - это нет. А платить мифическим хакерам - это да. Эти в стиле Озона, который именуется #VseCherezZhopu
(sarcasm mode on) Сразу видно эксперта в разработке ПО! Не стоит забывать что не только Ozon этого не понимает, но и тупые западные компании! Зачем они это делают!? Идиоты. Mozilla, Google, Facebook... и деньги то какие платят! Ну тупые :) #VseCherezZhopu (sarcasm mode off)
https://www.tripwire.com/state-of-security/security-data-protection/cyber-security/essential-bug-bounty-programs/
Справедливости ради, вменяемые тестировщики не дадут того же результата, как компания на h1.
Слишком специфичные скиллы, которые на рынке требуются в штучном виде. Думаю не ошибусь в предположении, что аудитория h1 пересекается с рынком российских тестировщиков, где-то в сотых долях процента, а может и в тысячных.
тестировщики работают за зарплату, у них нет прямой мотивации на поиск всех уязвимостей. У белых хаккеров, же, прямая мотивация- не нашёл уязвимость- не получил ничего.
Комментарий недоступен
Уважаемый ОЗОН.
Как руководитель сообщества ОЗОН селлеров, готов БЕСПЛАТНО рассказывать вам о глюках возникающих при работе с ОЗОНОМ со стороны селлеров.
Роман, это другая история, но не менее важная.
Очень приятно, что вы и другие продавцы готовы делиться своим опытом и болями, чтобы мы могли стать лучше и дать вам лучший сервис.
В статье речь о багах угрожающих безопасности, но ваш опыт и наблюдения тоже пригодятся - пишите нам в ЛС, с удовольствием будем разбирать ошибки и чинить процессы.
Тут недавно проходила информация об отборе в школу Go. Исходя из статьи, создалось ощущение, что Озон не очень чувствителен к обратной связи был в том конкурсе - задание было с ошибкой, но они стояли на своём. Не получится ли тут так же? Когда фактически могу создастся непреодолимые условия для выплаты приза.
Ссылку прилагаю:
https://m.habr.com/ru/post/507866/
Действительно, в алгоритме проверки задачи была ошибка, которую не сразу заметили, но при отборе решение задачи Е не учитывалось, а ошибку разобрали и объяснили. Использование платформы HackerOne как раз позволяет сделать процесс приема и оплаты репортов прозрачным для всех сторон, в том числе для выплат вознаграждения есть четко определенные сроки и условия.
Ну озон большой, да и растет быстро. Может этими проектами совершенно разные люди занимаются? Ошибка там была, но, насколько я помню, люди обиделись на то, что предпочтение москвичам отдавалось. Ну такая себе причина для обид. Надо понимать цель таких школ для бизнеса изначально. Может у сеньоров-помидоров там такая загрузка, что ни о какой школе уже не думается. Поэтому ее на откуп джунам отдали. В общем озон иногда косячит, но не надо уж все под одну гребенку.
Я Тинькофф уже столько багов в продукте нашел, чего-то они мне нифига не заплатили.
Найди раскрытие приватных данных клиентов и тогда заплатят. На h1 платят за проблемы с безопасностью, а не косяки разработки, ведущие лишь только к неудобствам
Баги заключались в том, что им не хватает "нормального" продакта?
Дорогой Озон донесите до Ваших специалистов, что есть такие сервисы как hackerone и если там регулярно платить пользователям вам там такие дыры найдут, что никакие пользовательские истории даже рядом не стоят.
Поэтому мы ровно на HackerOne и запустились, и уже даже заплатили нескольким его пользователям)
Привет, Олег!
В статье, как раз и рассказывается, что мы начинаем сотрудничество с хакерами через HackerOne.
Начали ещё в марте в закрытом режиме, прошли первую волну репортов и с радостью вышли в публичный режим.
Будем рады активности пользователей HackerOne, чтобы с их помощью мы смогли усилить нашу безопасность.
Хорошая инициатива!
Гораздо дешевле чем платить профи мнхаус видимо
Зачем платить, если можно не платить продавцам, поддержке, тестировщикам и хакерам?
Вот вроде бы первая хорошая новость про «Озон».
Но лучше не стало 😅
Комментарий недоступен
сомневаюсь, вряд-ли они другой сервер купят или кардинально что-то поменяют
Пользуясь случаем, сколько Озон заплатит за баг в навигации и сортировке товаров?
Через HackerOne принимаются баги, которые угрожают безопасности - например баг с отображением в поиске не будет участвовать в этой программе.
Настроение: устроиться дизайнером в «Озон».
Если не можешь победить врага, сделай его своим союзником
Black hackers matter!
Ага, щаз бросят погоню за миллионами и побегут за сотнями)
Как то дешево). За подобные программы другие производители платят больше.
А за поиск моих заказов когда будут платить?!? Готов приступить...
Уязвимости во внутренних алгоритмах и работе складского персонала они не хотят пофиксить?
Да чего вы переживаете, заплатят. Как только с программистов удержат 😂
Сообщение удалено
эх, знать бы как это делается) подработать можно было бы...
Из разряда "Вы поработайте, в мы подумаем, заплатить вам, или нет"
Мы проверим, и если уязвимость действительно есть — заплатим.
Комментарий недоступен