Ozon начнёт платить пользователям до 120 тысяч рублей за поиск уязвимостей на сайте ритейлера Статьи редакции
На первом этапе компания планирует инвестировать в проект более 3 млн рублей.
- Ozon запустил публичную bug bounty программу на платформе HackerOne для сбора информации об уязвимостях и награждения «белых» хакеров. Об этом vc.ru рассказал представитель маркетплейса.
- На первом этапе компания планирует инвестировать в проект более 3 млн рублей. В программе могут принять участие исследователи безопасности из России и других стран.
- Вознаграждение для «белых» хакеров за каждый найденный баг зависит от его влияния на работу сервиса, потенциального урона, качества отчёта и других факторов, уточнили в компании. Например, за найденный XSS (cross-site scripting), Ozon может заплатить 17 тысяч рублей, а за более серьезные — инъекции, удаленное выполнение кода (RCE) — до 120 тысяч рублей.
- В Ozon уточнили, что запуск программы не отменяет работу ИТ-лаборатории маркетплейса по обеспечению безопасности сервисов компании.
- Bug bounty программы в России есть также у «ВКонтакте», «Тинькофф», «Лаборатории Касперского», «Азбуки вкуса» и других компаний.
0
показов
6.8K
открытий
Я Тинькофф уже столько багов в продукте нашел, чего-то они мне нифига не заплатили.
Баги заключались в том, что им не хватает "нормального" продакта?
Когда в Тинькофф Инвестиции делаешь ставку вручную, а в этот момент рыночная цена стала ниже, но система все равно покупает по твоей ставке (высокой) - это дебилизм, который гораздо серьезнее проблем с безопасностью.
Какой же это баг? Это доход!
И в чем же ошибка, если заявка рыночная? При рыночной заявке покупка осуществляется начиная с лучшего доступного предложения на покупку и выше до исполнения заявки в полном объеме. Это механика работы рыночной заявки. Можно использовать лимитную заявку, она исполняет покупку или продажу активов по указанной цене или более выгодной.
Прежде отвечать то что хочется, прочитайте то, что вас спрашивают. Тинькофф нужно срочно уволить главу службы поддержки и провести тренинги сотрудников. Хотя бы научить их читать!
Если есть сомнения в корректности исполнения заявки, готовы ее проверить и предоставить развернутый ответ. Для этого пришлите в личку ваши данные, дату заявки, сумму и тикер бумаги.