VK разместила свою программу по поиску уязвимостей (bug bounty) на платформе BugBounty.ru. Для неё это третье подобное партнёрство: летом 2022 компания объявила о сотрудничестве с платформой Standoff 365 от Positive Technologies, а в ноябре — с платформой BI.ZONE Bug Bounty.
В программу VK входят 27 проектов: «ВКонтакте», «Одноклассники», «Почта Mail.ru», RuStore и другие. За каждую выявленную уязвимость исследователи безопасности могут получить от компании вознаграждения от ₽5000 до ₽1,8 млн в зависимости от уровня критичности угрозы.
«Подключение нашей bug bounty-программы ко всем трём отечественным платформам по поиску уязвимостей позволяет нам привлечь максимальное количество исследователей безопасности к тестированию защищённости проектов. В 2022 году VK приняла более 750 отчетов, общий объём выплат превысил 13 миллионов рублей», — рассказал вице-президент, директор по информационной безопасности VK Алексей Волков.
По словам Луки Сафонова, основателя Bugbounty.ru, в использовании bug bounty-платформы для крупных компаний есть ряд преимуществ. Так, платформа привлекает багхантеров, занимается триажем (при необходимости), агрегирует программы в одно окно (что удобно хантерам), выступает гарантом или арбитром в возможном споре между хантером и холдером программы и гарантирует выплаты хантерам.
«Мы рады, что ведущий игрок российского IT-рынка появился на нашей площадке. Она имеет обширное комьюнити багхантеров, отвечает всем современным требованиям bug bounty-платформ и активно наращивает свою функциональность. Мы уверены, что наша платформа станет дополнительным инструментом безопасности при создании продуктов и развития инфраструктуры VK», — отмечает он.
На прошлой неделе «Тинькофф» запустил публичную программу по поиску ошибок и уязвимостей в своих сервисах за вознаграждение на платформе BI.ZONE Bug Bounty. В программе могут участвовать любые исследователи безопасности из России и стран ЕАЭС.
В декабре 2022 года Ozon открыла программу по поиску уязвимостей на платформе BI.ZONE Bug Bounty. За подтверждённые уязвимости независимые исследователи получат вознаграждение от ₽5000 до ₽100 000. В ноябре аналогичную программу запустила компания «Авито». Багхантеры могут получить от неё от ₽5000 до ₽350 000 в зависимости от критичности найденных уязвимостей.
