Спецпроекты

Безопасность Интернет Веб-сервисы Ритейл Розница

«Азбука вкуса» запустила программу вознаграждений за поиск уязвимостей

«Азбука вкуса» объявила о том, что стала первым российским продуктовым ритейлером с публичной международной программой вознаграждения за найденные уязвимости. Теперь, с 14 августа 2020 г., ИТ-специалисты со всего мира смогут получать вознаграждение за найденные уязвимости на сайтах и в мобильных приложениях компании, используя платформу HackerOne, выплаты будут осуществляться напрямую через неё. По правилам платформы, в первое время принять участие в программе можно по приглашению — для этого необходимо отправить запрос на специальный адрес электронной почты. После завершения тестового периода сообщить об уязвимостях смогут все желающие, без дополнительных запросов.

В середине марта 2020 г. «Азбука вкуса» запустила первую в фуд-ритейле программу вознаграждений за поиск уязвимостей в основной и мобильной версии сайта av.ru, а также во всех сервисах, расположенных на доменных именах av.ru и субдоменах azbukavkusa.ru. Чтобы получить вознаграждение, было необходимо отправить отчет о найденных ошибках на электронный адрес ритейлера. К 14 августа поступила информация о 170 уязвимостях, из них подтвержденных уязвимостей — 108. Кроме того, было сообщено о трех уязвимостях не в продуктах компании, но связанных с ними. Участниками программы стали 26 человек, максимальное количество найденных уязвимостей от одного специалиста — 41. Участники предоставляли отчеты в формате инструкций по воспроизведению, а также присылали видео PoC. Большая часть выявленных ошибок, а именно 63,3% — уязвимости со средней критичностью. 22,8% найденных ошибок были критическими, из них 7,8% — от первоисточников.

С момента запуска программы «Азбука вкуса» осуществила 58 выплат: 349 тыс. руб. переведено на карты пользователей, 91,5 тыс. руб. — на счета программы лояльности «Вкусомания», а еще 126,5 тыс. руб. находятся в резерве и ожидают ответ от участников о варианте выплаты. При этом, 91,6% участников выбирают вознаграждение в виде перевода на банковскую карту.

Дмитрий Кузеванов, руководитель отдела информационной безопасности «Азбуки вкуса», сказал: «Мы уделяем большое внимание обеспечению безопасности данных клиентов и партнеров, а также наших информационных систем. Переход на HackerOne, одну из ведущих международных платформ по взаимодействию с сообществом «белых» хакеров, — важный и необходимый шаг для поддержания комплексной информационной безопасности Компании. Мы рады взаимодействовать с международным сообществом специалистов и приглашаем принять участие в нашей программе bug bounty».

Короткая ссылка