Вы случайно не PHP Middle?

Ozon начнёт платить пользователям до 120 тысяч рублей за поиск уязвимостей на сайте ритейлера Материал редакции

На первом этапе компания планирует инвестировать в проект более 3 млн рублей.

  • Ozon запустил публичную bug bounty программу на платформе HackerOne для сбора информации об уязвимостях и награждения «белых» хакеров. Об этом vc.ru рассказал представитель маркетплейса.
  • На первом этапе компания планирует инвестировать в проект более 3 млн рублей. В программе могут принять участие исследователи безопасности из России и других стран.
  • Вознаграждение для «белых» хакеров за каждый найденный баг зависит от его влияния на работу сервиса, потенциального урона, качества отчёта и других факторов, уточнили в компании. Например, за найденный XSS (cross-site scripting), Ozon может заплатить 17 тысяч рублей, а за более серьезные — инъекции, удаленное выполнение кода (RCE) — до 120 тысяч рублей.
  • В Ozon уточнили, что запуск программы не отменяет работу ИТ-лаборатории маркетплейса по обеспечению безопасности сервисов компании.
  • Bug bounty программы ­в России есть также у «ВКонтакте», «Тинькофф», «Лаборатории Касперского», «Азбуки вкуса» и других компаний.
{ "author_name": "Лиана Липанова", "author_type": "editor", "tags": ["\u043d\u043e\u0432\u043e\u0441\u0442\u044c","\u043d\u043e\u0432\u043e\u0441\u0442\u0438","ozon","hackerone"], "comments": 71, "likes": 13, "favorites": 15, "is_advertisement": false, "subsite_label": "dev", "id": 139716, "is_wide": true, "is_ugc": false, "date": "Mon, 06 Jul 2020 10:35:02 +0300", "is_special": false }
Право
Товарные знаки для тех, кто ведёт бизнес в интернете: защищаем домен, управляем отзывами и контролируем конкурентов
Казалось бы, регистрация брендов в Роспатенте — это история про заводы и предприятия: вот наша одежда, еда или…
Объявление на vc.ru
0
71 комментарий
Популярные
По порядку
Написать комментарий...
58

зависит от его влияния на работу сервиса, потенциального урона, качества отчёта и других факторов

В общем, наебут как всегда.

Ответить
9

Как пить дать

Ответить
0

Мутузность.

Ответить
0

Вроде бы компании обычно дают вознаграждение, чтобы уязвимости выгоднее было продать им, а не на открытом рынке, поэтому опций много. 

Ответить
0

Ну SLA не Озон изобрели, везде так

Ответить
28

У меня там друг работает программистом, буду говорить чтобы специально коряво кодил, а кэш потом вместе будем делить

Ответить
7

А потом они посмотрят, кто так косячит (а это всегда будут смотреть) и будете другу искать новую работу.

Ответить
5

Нет конечно, все разработчики могут ошибаться
Просто с тестировщиками забыли договориться

Ответить
0

Все могут ошибаться, только всё-таки ретроспективу проводят. Плох не тот, кто ошибается, а кто допускает одни и те же ошибки несколько раз.
И поверьте, любой нормальный тимлид или техдир за этим следит. Могут ничего не говорить, если это не так часто.

Ответить
0

Надо еще код ревью и статич. анализ кода пройти

Ответить
0

Эх. У меня тут уже слюни потекли

Ответить
13

120 тысяч это меньше 2к$. Понятно, что в РФ нет столько бабла, как в штатах, но это же копейки для баг-баунти.

Ответить
10

Ну лучше, чем ничего, как говорится. Люди,  которым мало, могут другие сайты ломать. А кому вроде и неплохо - поломают этот. Тут самое главное, чтоб не было "ой, а это не баг, а фича, вот вам 0 рублей, это наше лучшее предложение"

Ответить
0

Mail.ru глянь программу, у них все хорошо с этим, хотя и Россия

Ответить
11

А выплаты будут задерживать так же как и поставщикам)

Ответить
9

будут говорить что они витрина (: и не могут выплатить вам финансы, трясите с программистов

Ответить
–16

То есть нанять команду вменяемых тестировщиков - это нет. А платить мифическим хакерам - это да. Эти в стиле Озона, который именуется #VseCherezZhopu

Ответить
32

(sarcasm mode on) Сразу видно эксперта в разработке ПО! Не стоит забывать что не только Ozon этого не понимает, но и тупые западные компании! Зачем они это делают!? Идиоты. Mozilla, Google, Facebook... и деньги то какие платят! Ну тупые :) #VseCherezZhopu (sarcasm mode off)

https://www.tripwire.com/state-of-security/security-data-protection/cyber-security/essential-bug-bounty-programs/

Ответить

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

2

Справедливости ради, вменяемые тестировщики не дадут того же результата, как компания на h1.
Слишком специфичные скиллы, которые на рынке требуются в штучном виде. Думаю не ошибусь в предположении, что аудитория h1 пересекается с рынком российских тестировщиков, где-то в сотых долях процента, а может и в тысячных.

Ответить
3

Думаю не ошибусь в предположении, что аудитория h1 пересекается с рынком российских тестировщиков где-то в сотых долях процента

Думаю, не ошибусь в предположении, что спектр багов и странного поведения Озона пересекается с задачами h1 где-то в сотых долях процента :)

У них поддержка по полгода (если судить по местным скринам) отвечает, а они за баги волнуются.

Ответить
1

каждый менеджер хочет свой кипиай)

Ответить
0

тестировщики работают за зарплату, у них нет прямой мотивации на поиск всех уязвимостей. У белых хаккеров, же,  прямая мотивация- не нашёл уязвимость- не получил ничего.

Ответить
10

За поиск уязвимостей в головах руководителей и сотрудников компании тоже платят?

Ответить
6

Уважаемый ОЗОН. 
Как руководитель сообщества ОЗОН селлеров, готов БЕСПЛАТНО рассказывать вам о глюках возникающих при работе с ОЗОНОМ со стороны селлеров. 

Ответить
0

Роман, это другая история, но не менее важная.
Очень приятно, что вы и другие продавцы готовы делиться своим опытом и болями, чтобы мы могли стать лучше и дать вам лучший сервис.
В статье речь о багах угрожающих безопасности, но ваш опыт и наблюдения тоже пригодятся - пишите нам в ЛС, с удовольствием будем разбирать ошибки и чинить процессы.

Ответить
0

Нравится мне это слово "даже"

Ответить
0

Договорились. Пишу

Ответить
3

Тут недавно проходила информация об отборе в школу Go. Исходя из статьи, создалось ощущение, что Озон не очень чувствителен к обратной связи был в том конкурсе - задание было с ошибкой, но они стояли на своём. Не получится ли тут так же? Когда фактически могу создастся непреодолимые условия для выплаты приза.

Ссылку прилагаю:

https://m.habr.com/ru/post/507866/

Ответить
2

Действительно, в алгоритме проверки задачи была ошибка, которую не сразу заметили, но при отборе решение задачи Е не учитывалось, а ошибку разобрали и объяснили. Использование платформы HackerOne как раз позволяет сделать процесс приема и оплаты репортов прозрачным для всех сторон, в том числе для выплат вознаграждения есть четко определенные сроки и условия.

Ответить
1

Ну озон большой, да и растет быстро. Может этими проектами совершенно разные люди занимаются? Ошибка там была, но, насколько я помню, люди обиделись на то, что предпочтение москвичам отдавалось. Ну такая себе причина для обид. Надо понимать цель таких школ для бизнеса изначально. Может у сеньоров-помидоров там такая загрузка, что ни о какой школе уже не думается. Поэтому ее на откуп джунам отдали. В общем озон иногда косячит, но не надо уж все под одну гребенку.

Ответить
2

Я Тинькофф уже столько багов в продукте нашел, чего-то они мне нифига не заплатили.

Ответить
5

Найди раскрытие приватных данных клиентов и тогда заплатят. На h1 платят за проблемы с безопасностью, а не косяки разработки, ведущие лишь только к неудобствам

Ответить
0

почему бы не платить за все?

Ответить
0

специфика площадки

Ответить
3

Баги заключались в том, что им не хватает "нормального" продакта?

Ответить
0

Когда в Тинькофф Инвестиции делаешь ставку вручную, а в этот момент рыночная цена стала ниже, но система все равно покупает по твоей ставке (высокой) - это дебилизм, который гораздо серьезнее проблем с безопасностью.

Ответить
2

Какой же это баг? Это доход!

Ответить
0

И в чем же ошибка, если заявка рыночная? При рыночной заявке покупка осуществляется начиная с лучшего доступного предложения на покупку и выше до исполнения заявки в полном объеме. Это механика работы рыночной заявки. Можно использовать лимитную заявку, она исполняет покупку или продажу активов по указанной цене или более выгодной. 

Ответить
0

Прежде отвечать то что хочется, прочитайте то, что вас спрашивают. Тинькофф нужно срочно уволить главу службы поддержки и провести тренинги сотрудников. Хотя бы научить их читать!

Ответить
0

Если есть сомнения в корректности исполнения заявки, готовы ее проверить и предоставить развернутый ответ. Для этого пришлите в личку ваши данные, дату заявки, сумму и тикер бумаги.

Ответить
2

Дорогой Озон донесите до Ваших специалистов, что есть такие сервисы как hackerone и если там регулярно платить пользователям вам там такие дыры найдут, что никакие пользовательские истории даже рядом не стоят.

Ответить
4

Поэтому мы ровно на HackerOne и запустились, и уже даже заплатили нескольким его пользователям)

Ответить
1

Привет, Олег!
В статье, как раз и рассказывается, что мы начинаем сотрудничество с хакерами через HackerOne. 
Начали ещё в марте в закрытом режиме, прошли первую волну репортов и с радостью вышли в публичный режим.
Будем рады активности пользователей HackerOne, чтобы с их помощью мы смогли усилить нашу безопасность. 

Ответить
3

Хорошая инициатива!

Ответить
1

Гораздо дешевле чем платить профи мнхаус видимо

Ответить
1

Зачем платить, если можно не платить продавцам, поддержке, тестировщикам и хакерам?

Ответить
1

Вот вроде бы первая хорошая новость про «Озон».

Но лучше не стало 😅

Ответить
0

Возможно, что с исправлением косяков ещё и над скоростью сайта поработают.

Ответить
1

сомневаюсь, вряд-ли они другой сервер купят или кардинально что-то поменяют

Ответить
0

Пользуясь случаем, сколько Озон заплатит за баг в навигации и сортировке товаров?

Ответить
0

Через HackerOne принимаются баги, которые угрожают безопасности - например баг с отображением в поиске не будет участвовать в этой программе.

Ответить
0

Интересный у вас подход, когда под bug bounty вы подразумеваете исключительно ошибки безопасности. Но вы даже не попытались узнать у меня, в чём заключается ошибка и как её воспроизвести. Вы могли бы написать дежурное «Просьба направить информацию об ошибке на blahblah@ozon.ru. В качество вознаграждения получите 100 бонусов», но даже этого не прозвучало.

Ответить
1

Bug bounty - это в первую очередь эксплойты и уязвимости.
Если тот баг о котором вы говорите относится к таким, то можно оформить всё через HackerOne.
Благодаря систематизации такой баг не потеряется, как может случится с письмом в почте.
Об остальных багах можно сообщить написав мне в ЛС.

Ответить
0

Под Bug Bounty подразумевается только одно, ваш коммент в чатиках уже как мем постят. Вылезайте из бункера.

Ответить
0

Ошибка в работе сайта крупнейшего маркет-плейса с капитализацией более полумиллиарда долларов США, не являющаяся угрозой безопасности и в некоторых сценариях сбивающая поиск и мешающая посетителю ознакамливаться с ассортиментом товаров, не попадает в сферу баг-баунти и мало интересуют представителей маркет-плейса.
 
Понял. Усвоил. Приношу извинения всем, кого побеспокоил и передаю привет всем, кого развеселил.

Ответить
0

Настроение: устроиться дизайнером в «Озон».

Ответить
0

Если не можешь победить врага, сделай его своим союзником

Ответить
0

Black hackers matter!

Ответить
0

Ага, щаз бросят погоню за миллионами и побегут за сотнями)

Ответить
0

Как то дешево). За подобные программы другие производители платят больше. 

Ответить
0

А за поиск моих заказов когда будут платить?!? Готов приступить...

Ответить
0

Уязвимости во внутренних алгоритмах и работе складского персонала они не хотят пофиксить?

Ответить
0

Да чего вы переживаете, заплатят. Как только с программистов удержат 😂

Ответить
0

Сообщение удалено

Ответить
0

эх, знать бы как это делается) подработать можно было бы...

Ответить
–1

Из разряда "Вы поработайте, в мы подумаем, заплатить вам, или нет"

Ответить
0

Мы проверим, и если уязвимость действительно есть — заплатим. 

Ответить
–1

Да нет. Проверим, а если уязвимость действительно есть, исправим и скажем, что это небольшая ошибка в вашем браузере, но в качестве поощрения так и быть, закинем полтинник вам на телефон. Но не забудьте скинуть все ваши личные данные, заплатить налог с прибыли

Ответить
0

И вот как раз для того, чтобы все участники сообщества могли видеть, как проверяются репорты, и выплачиваются вознаграждения, нужен HackerOne. Вся наша статистика здесь: https://hackerone.com/ozon/hacktivity

Ответить
0

У вас интересная политика, которая очередной раз подрывает доверие

Ответить
0

Из разряда не знаю о чем пишу и как работает hackerone

Ответить

Комментарии