«Авито» запустила публичную программу bug bounty на платформе BI.ZONE Bug Bounty, рассказали Хабру в пресс-службе BI.ZONE. По программе предлагается проверить безопасность всех веб- и мобильных приложений «Авито», а также любых доступных приложений и сервисов, размещённых на поддоменах *.avito.ru. Багхантеры получат от 5000 до 350 000 рублей в зависимости от критичности найденных уязвимостей.
Валентин Лякутин
Руководитель продуктовой безопасности «Авито»
«Bug bounty — один из самых важных и полезных процессов при разработке продукта, обеспечивающий его безопасность. С помощью BI.ZONE Bug Bounty мы хотим наладить постоянное взаимодействие с комьюнити багхантеров по исследованию наших систем на безопасность и дополнительно повысить уровень защищенности портала».
«Авито» впервые использовала bug bounty в 2018 году. Компания разместила приватную программу на одной из зарубежных платформ. До весны 2022 года команда «Авито» успела запустить монетизацию этой программы и попробовать еще одну, комбинируя публичные и приватные механизмы для достижения наилучшего результата.
Евгений Волошин
Директор по стратегии BI.ZONE
«Размещение программы bug bounty „Авито“ говорит о том, что компания заботится о своих клиентах и стремится повысить их защищенность. Она понимает, что безопасность — конкурентное преимущество, поэтому уделяет этому особое внимание. При создании BI.ZONE Bug Bounty мы учитывали это и другие ожидания бизнеса, который ранее размещал программы на зарубежных площадках. Поэтому в нашей платформе реализованы наиболее востребованные и качественные практики рынка. „Авито“, запуская программу у нас, получит разностороннюю проверку безопасности от независимых исследователей России и СНГ».
BI.ZONE Bug Bounty связывает компании и багхантеров, рассказали в пресс-службе компании. Бизнесу платформа помогает повысить защищённость IT‑активов, содействуя в запуске программ bug bounty. Багхантерам комфортнее проводить исследования безопасности: сообщать об уязвимостях, не опасаясь уголовного преследования, выбирать программы bug bounty по своим интересам и получать вознаграждение без организационных помех.
Релиз платформы состоялся 25 августа в рамках международной конференции по практической кибербезопасности OFFZONE 2022. Отчёт информационной службы о мероприятии можно почитать в статье — «Хабр на конференции OFFZONE 2022: российская BugBounty, кибербез и… текила?».
