Ozon начнёт платить пользователям до 120 тысяч рублей за поиск уязвимостей на сайте ритейлера Статьи редакции

На первом этапе компания планирует инвестировать в проект более 3 млн рублей.

  • Ozon запустил публичную bug bounty программу на платформе HackerOne для сбора информации об уязвимостях и награждения «белых» хакеров. Об этом vc.ru рассказал представитель маркетплейса.
  • На первом этапе компания планирует инвестировать в проект более 3 млн рублей. В программе могут принять участие исследователи безопасности из России и других стран.
  • Вознаграждение для «белых» хакеров за каждый найденный баг зависит от его влияния на работу сервиса, потенциального урона, качества отчёта и других факторов, уточнили в компании. Например, за найденный XSS (cross-site scripting), Ozon может заплатить 17 тысяч рублей, а за более серьезные — инъекции, удаленное выполнение кода (RCE) — до 120 тысяч рублей.
  • В Ozon уточнили, что запуск программы не отменяет работу ИТ-лаборатории маркетплейса по обеспечению безопасности сервисов компании.
  • Bug bounty программы ­в России есть также у «ВКонтакте», «Тинькофф», «Лаборатории Касперского», «Азбуки вкуса» и других компаний.
0
71 комментарий
Написать комментарий...
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Василий Степанов

Как пить дать

Ответить
Развернуть ветку
1 комментарий
Alexey Sharapov

Вроде бы компании обычно дают вознаграждение, чтобы уязвимости выгоднее было продать им, а не на открытом рынке, поэтому опций много. 

Ответить
Развернуть ветку
Семен Смирнов

Ну SLA не Озон изобрели, везде так

Ответить
Развернуть ветку
Холден Колфилд

У меня там друг работает программистом, буду говорить чтобы специально коряво кодил, а кэш потом вместе будем делить

Ответить
Развернуть ветку
Nataniel Bampoo

А потом они посмотрят, кто так косячит (а это всегда будут смотреть) и будете другу искать новую работу.

Ответить
Развернуть ветку
2 комментария
Maxim Medvedev

Надо еще код ревью и статич. анализ кода пройти

Ответить
Развернуть ветку
1 комментарий
Agrailag

120 тысяч это меньше 2к$. Понятно, что в РФ нет столько бабла, как в штатах, но это же копейки для баг-баунти.

Ответить
Развернуть ветку
Denis Krivonosov

Ну лучше, чем ничего, как говорится. Люди,  которым мало, могут другие сайты ломать. А кому вроде и неплохо - поломают этот. Тут самое главное, чтоб не было "ой, а это не баг, а фича, вот вам 0 рублей, это наше лучшее предложение"

Ответить
Развернуть ветку
Алексей Голубев

Mail.ru глянь программу, у них все хорошо с этим, хотя и Россия

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Angel Vivaldi

будут говорить что они витрина (: и не могут выплатить вам финансы, трясите с программистов

Ответить
Развернуть ветку
Надежда Медведева

То есть нанять команду вменяемых тестировщиков - это нет. А платить мифическим хакерам - это да. Эти в стиле Озона, который именуется #VseCherezZhopu

Ответить
Развернуть ветку
ЯжПрограммист

(sarcasm mode on) Сразу видно эксперта в разработке ПО! Не стоит забывать что не только Ozon этого не понимает, но и тупые западные компании! Зачем они это делают!? Идиоты. Mozilla, Google, Facebook... и деньги то какие платят! Ну тупые :) #VseCherezZhopu (sarcasm mode off)

https://www.tripwire.com/state-of-security/security-data-protection/cyber-security/essential-bug-bounty-programs/

Ответить
Развернуть ветку
Denis Denis

Справедливости ради, вменяемые тестировщики не дадут того же результата, как компания на h1.
Слишком специфичные скиллы, которые на рынке требуются в штучном виде. Думаю не ошибусь в предположении, что аудитория h1 пересекается с рынком российских тестировщиков, где-то в сотых долях процента, а может и в тысячных.

Ответить
Развернуть ветку
2 комментария
Павел Андрейчук

тестировщики работают за зарплату, у них нет прямой мотивации на поиск всех уязвимостей. У белых хаккеров, же,  прямая мотивация- не нашёл уязвимость- не получил ничего.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Роман Воробьёв

Уважаемый ОЗОН. 
Как руководитель сообщества ОЗОН селлеров, готов БЕСПЛАТНО рассказывать вам о глюках возникающих при работе с ОЗОНОМ со стороны селлеров. 

Ответить
Развернуть ветку
Ozon

Роман, это другая история, но не менее важная.
Очень приятно, что вы и другие продавцы готовы делиться своим опытом и болями, чтобы мы могли стать лучше и дать вам лучший сервис.
В статье речь о багах угрожающих безопасности, но ваш опыт и наблюдения тоже пригодятся - пишите нам в ЛС, с удовольствием будем разбирать ошибки и чинить процессы.

Ответить
Развернуть ветку
2 комментария
Юрий Б.

Тут недавно проходила информация об отборе в школу Go. Исходя из статьи, создалось ощущение, что Озон не очень чувствителен к обратной связи был в том конкурсе - задание было с ошибкой, но они стояли на своём. Не получится ли тут так же? Когда фактически могу создастся непреодолимые условия для выплаты приза.

Ссылку прилагаю:

https://m.habr.com/ru/post/507866/

Ответить
Развернуть ветку
Maria Skorik

Действительно, в алгоритме проверки задачи была ошибка, которую не сразу заметили, но при отборе решение задачи Е не учитывалось, а ошибку разобрали и объяснили. Использование платформы HackerOne как раз позволяет сделать процесс приема и оплаты репортов прозрачным для всех сторон, в том числе для выплат вознаграждения есть четко определенные сроки и условия.

Ответить
Развернуть ветку
Denis Krivonosov

Ну озон большой, да и растет быстро. Может этими проектами совершенно разные люди занимаются? Ошибка там была, но, насколько я помню, люди обиделись на то, что предпочтение москвичам отдавалось. Ну такая себе причина для обид. Надо понимать цель таких школ для бизнеса изначально. Может у сеньоров-помидоров там такая загрузка, что ни о какой школе уже не думается. Поэтому ее на откуп джунам отдали. В общем озон иногда косячит, но не надо уж все под одну гребенку.

Ответить
Развернуть ветку
Убит админом

Я Тинькофф уже столько багов в продукте нашел, чего-то они мне нифига не заплатили.

Ответить
Развернуть ветку
Denis Denis

Найди раскрытие приватных данных клиентов и тогда заплатят. На h1 платят за проблемы с безопасностью, а не косяки разработки, ведущие лишь только к неудобствам

Ответить
Развернуть ветку
2 комментария
Denis Krivonosov

Баги заключались в том, что им не хватает "нормального" продакта?

Ответить
Развернуть ветку
5 комментариев
Oleg Sokolukhin

Дорогой Озон донесите до Ваших специалистов, что есть такие сервисы как hackerone и если там регулярно платить пользователям вам там такие дыры найдут, что никакие пользовательские истории даже рядом не стоят.

Ответить
Развернуть ветку
Ozon

Поэтому мы ровно на HackerOne и запустились, и уже даже заплатили нескольким его пользователям)

Ответить
Развернуть ветку
Ozon

Привет, Олег!
В статье, как раз и рассказывается, что мы начинаем сотрудничество с хакерами через HackerOne. 
Начали ещё в марте в закрытом режиме, прошли первую волну репортов и с радостью вышли в публичный режим.
Будем рады активности пользователей HackerOne, чтобы с их помощью мы смогли усилить нашу безопасность. 

Ответить
Развернуть ветку
Russian Hackers

Хорошая инициатива!

Ответить
Развернуть ветку
Michael Shramko

Гораздо дешевле чем платить профи мнхаус видимо

Ответить
Развернуть ветку
Prolis Labkk

Зачем платить, если можно не платить продавцам, поддержке, тестировщикам и хакерам?

Ответить
Развернуть ветку
Ol Ka

Вот вроде бы первая хорошая новость про «Озон».

Но лучше не стало 😅

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Вадим Клюев

сомневаюсь, вряд-ли они другой сервер купят или кардинально что-то поменяют

Ответить
Развернуть ветку
Алексис Второй

Пользуясь случаем, сколько Озон заплатит за баг в навигации и сортировке товаров?

Ответить
Развернуть ветку
Ozon

Через HackerOne принимаются баги, которые угрожают безопасности - например баг с отображением в поиске не будет участвовать в этой программе.

Ответить
Развернуть ветку
4 комментария
Serhio Alvarez

Настроение: устроиться дизайнером в «Озон».

Ответить
Развернуть ветку
Александр Владимирович

Если не можешь победить врага, сделай его своим союзником

Ответить
Развернуть ветку
Артур Нигай

Black hackers matter!

Ответить
Развернуть ветку
Азиз Азизов

Ага, щаз бросят погоню за миллионами и побегут за сотнями)

Ответить
Развернуть ветку
Yan

Как то дешево). За подобные программы другие производители платят больше. 

Ответить
Развернуть ветку
Help lawyer

А за поиск моих заказов когда будут платить?!? Готов приступить...

Ответить
Развернуть ветку
Pavel Voronkov

Уязвимости во внутренних алгоритмах и работе складского персонала они не хотят пофиксить?

Ответить
Развернуть ветку
Роман

Да чего вы переживаете, заплатят. Как только с программистов удержат 😂

Ответить
Развернуть ветку
Mikhail Golovanov

Сообщение удалено

Ответить
Развернуть ветку
Анна Селищева

эх, знать бы как это делается) подработать можно было бы...

Ответить
Развернуть ветку
Евгений Широков

Из разряда "Вы поработайте, в мы подумаем, заплатить вам, или нет"

Ответить
Развернуть ветку
Maria Skorik

Мы проверим, и если уязвимость действительно есть — заплатим. 

Ответить
Развернуть ветку
3 комментария
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
68 комментариев
Раскрывать всегда