Ozon начнёт платить пользователям до 120 тысяч рублей за поиск уязвимостей на сайте ритейлера Статьи редакции
На первом этапе компания планирует инвестировать в проект более 3 млн рублей.
- Ozon запустил публичную bug bounty программу на платформе HackerOne для сбора информации об уязвимостях и награждения «белых» хакеров. Об этом vc.ru рассказал представитель маркетплейса.
- На первом этапе компания планирует инвестировать в проект более 3 млн рублей. В программе могут принять участие исследователи безопасности из России и других стран.
- Вознаграждение для «белых» хакеров за каждый найденный баг зависит от его влияния на работу сервиса, потенциального урона, качества отчёта и других факторов, уточнили в компании. Например, за найденный XSS (cross-site scripting), Ozon может заплатить 17 тысяч рублей, а за более серьезные — инъекции, удаленное выполнение кода (RCE) — до 120 тысяч рублей.
- В Ozon уточнили, что запуск программы не отменяет работу ИТ-лаборатории маркетплейса по обеспечению безопасности сервисов компании.
- Bug bounty программы в России есть также у «ВКонтакте», «Тинькофф», «Лаборатории Касперского», «Азбуки вкуса» и других компаний.
0
показов
6.8K
открытий
Пользуясь случаем, сколько Озон заплатит за баг в навигации и сортировке товаров?
Через HackerOne принимаются баги, которые угрожают безопасности - например баг с отображением в поиске не будет участвовать в этой программе.
Интересный у вас подход, когда под bug bounty вы подразумеваете исключительно ошибки безопасности. Но вы даже не попытались узнать у меня, в чём заключается ошибка и как её воспроизвести. Вы могли бы написать дежурное «Просьба направить информацию об ошибке на [email protected]. В качество вознаграждения получите 100 бонусов», но даже этого не прозвучало.
Комментарий недоступен
Ошибка в работе сайта крупнейшего маркет-плейса с капитализацией более полумиллиарда долларов США, не являющаяся угрозой безопасности и в некоторых сценариях сбивающая поиск и мешающая посетителю ознакамливаться с ассортиментом товаров, не попадает в сферу баг-баунти и мало интересуют представителей маркет-плейса.
Понял. Усвоил. Приношу извинения всем, кого побеспокоил и передаю привет всем, кого развеселил.