Авито стал одним из первых игроков российского рынка онлайн-коммерции, кто запустил собственную инициативу для багхантеров. Инициатива Bug Bounty позволяет компании поддерживать систему постоянного мониторинга рисков безопасности. С ее помощью команде удается оперативно закрывать уязвимости и минимизировать потенциальные потери. Размер вознаграждения за найденную уязвимость определяется десятками критериев, включая влияние бага на бизнес платформы, сложность его исправления, широту аудитории, которую он может охватить, и другими.
Участники программы могут проверить безопасность всех мобильных и веб-приложений компании, а также любых доступных сервисов, размещенных на поддоменах *.avito.ru. Задача исследователей — находить ошибки в коде, которые влияют на безопасность сервисов Авито. Например, слабые места, которые позволяют получить доступ к данным пользователей, платежной информации, важным файлам или повлиять на стабильную работу сайта.
BI.ZONE отмечает рост интереса бизнеса к программам поиска уязвимостей: средняя выплата на платформе выросла за год на 14% до 44 тыс. рублей, а количество программ от компаний достигло 98, увеличившись почти вдвое по сравнению с 2023 годом. На этом фоне Авито стремится предоставить наиболее привлекательное предложение для исследователей.
«Помимо Bug Bounty, команда кибербезопасности Авито развивает систему защиты, которая внедряется с начальных стадий разработки. На каждом этапе разработки продукта используются сканеры для проверки кода на наличие уязвимостей, а также проводятся ручные аудиты безопасности – специалисты имитируют потенциальные действия злоумышленников. Технические команды проходят обучение безопасной разработке. Такой комплексный подход позволяет создавать механизмы безопасности и поддерживать высокий уровень защиты сервисов Авито от взломов и утечек», — Андрей Усенок, руководитель по информационной безопасности Авито.
“Программа Bug Bounty позволяет повысить уровень защищенности ресурсов компании. При этом развитие программ и увеличение выплат — важный шаг, который позволяет привлечь больше опытных независимых исследователей и повысить уровень защищенности ресурсов. Мы видим растущий интерес крупных компаний к инвестициям в безопасность своих цифровых ресурсов. BI.ZONE Bug Bounty предоставляет бизнесу эффективный механизм выявления и устранения угроз, а багхантерам — вознаграждение за работу”, — Андрей Лёвкин, руководитель продукта BI.ZONE Bug Bounty.
