VK разместила программу по поиску уязвимостей (bug bounty) на платформе The Standoff 365 Bug Bounty, разработанной Positive Technologies. Цель bug bounty состоит в том, чтобы с помощью внешних экспертов выявить и устранить недостатки безопасности до того, как их обнаружат и начнут использовать злоумышленники.
В программу bug bounty VK входят более 40 проектов. В зависимости от уровня угрозы найденной уязвимости исследователи безопасности получат вознаграждения от 6 тыс. до 1,8 млн рублей.
VK — одна из первых компаний в России, которая начала платить внешним исследователям за найденные уязвимости. С 2013 года VK получила более 15 000 отчетов, что позволило ей усилить защиту пользовательских данных и исправить уязвимые места. Всего за время действия программы bug bounty компания выплатила более 185 млн рублей.
Алексей Волков
Вице-президент, директор по информационной безопасности VK
Безопасность пользователей и доверие к сервисам VK всегда были приоритетом для нас. Мы применяем различные инструменты, чтобы укрепить киберзащиту, и давно используем bug bounty для проверки качества наших сервисов, видим в этом реальную, практическую пользу. За последние полгода количество кибератак в России выросло в разы, и мы рады, что отечественные компании запускают собственные bug bounty платформы. Уверен, что размещение нашей программы на платформе The Standoff 365 расширит возможности VK в поиске уязвимостей и их оперативном устранении.
Ярослав Бабин
CPO The Standoff 365
Чтобы привлечь к обнаружению уязвимостей внешних экспертов по кибербезопасности, руководству компании требуется смелость. Но именно этот шаг позволяет достоверно и объективно оценить защищенность бизнеса и вовремя устранить уязвимости в ИТ-инфраструктуре до того, как плохие парни воспользуются ими и нанесут организации непоправимый ущерб. Программа bug bounty — это забота о будущем; это признак открытости компании, ее внимания к безопасности данных пользователей. Поэтому сам факт наличия bug bounty вызывает больше доверия к организации. Мы рады приветствовать на своей платформе компанию VK с ее многолетним опытом в bug bounty и рассчитываем на долгосрочное сотрудничество в деле улучшения защищенности сервисов и повышения уровня кибербезопасности.
Positive Technologies представила платформу The Standoff 365 Bug Bounty на форуме PHDays 11 в мае. Исследователи безопасности, работающие в рамках платформы, смогут получать награду не только за обнаружение уязвимостей, но и за реализацию бизнес-рисков. На платформе уже зарегистрировано более 1400 исследователей. Белые хакеры сдали 73 отчета об уязвимостях, первый из них — спустя всего 20 минут после запуска платформы. «Азбука вкуса» и Positive Technologies первыми разместили здесь свои программы bug bounty.
По прогнозам создателей The Standoff 365 Bug Bounty, только в этом году 10–20 организаций запустят на платформе свои программы bug bounty, а к 2025 году их число может превысить 100.
