Поделиться
Компания «Магнит» запустила открытую программу для поиска уязвимостей на Standoff Bug Bounty
Российская розничная сеть «Магнит» объявила о переводе своей программы для поиска уязвимостей, запущенной на площадке Standoff Bug Bounty, в публичный режим. После успешного закрытого этапа, стартовавшего в феврале 2024 г., к тестированию привлекается около 30 тыс. исследователей безопасности. За реализацию особо опасных сценариев компания готова выплатить этичным хакерам до 250 тыс. руб.
Кибератаки остаются серьезной угрозой для бизнеса: согласно исследованию Positive Technologies за I–II кварталы, более половины успешных атак на организации приводят к утечкам конфиденциальных сведений. Сфера розничной торговли входит в топ-5 атакуемых отраслей и представляет для злоумышленников особый интерес, поскольку обрабатывает большие объемы данных клиентов.
Программы багбаунти позволяют выявлять уязвимости до их эксплуатации киберпреступниками. Это особенно важно в условиях, когда атакующие стремятся использовать легитимные инструменты для маскировки вредоносной активности.
«Для нас безопасность — это не просто соответствие стандартам, а постоянное усложнение жизни для злоумышленника. Мы выстроили многоуровневую защиту, но понимаем, что внутренний взгляд «зашорен». Публичная программа Bug Bounty — это наш способ привлечь глобальное сообщество белых хакеров для поиска сложных цепочек уязвимостей и логических ошибок, которые ускользают от автоматизированного сканирования. Каждый отчет от исследователя — это возможность устранить реальную угрозу до того, как ей воспользуются», — сказал Олег Лалаев, руководитель управления по безопасности данных и инфраструктуры, «Магнит».
Запуск публичной программы позволит «Магниту» проверить защищенность своих сервисов силами более 30 тыс. багхантеров, зарегистрированных на площадке Standoff Bug Bounty, с разным опытом и инструментарием. В область исследования входят клиентские и сервисные ресурсы розничной сети, в том числе мобильное приложение (для iOS и Android), сайт доставки, портал лояльности, и другие сервисы.
В открытой программе компания также увеличила размер вознаграждений. За обнаружение багов с высоким уровнем риска исследователи могут заработать до 120 тыс. руб. За выявление особо опасных уязвимостей максимальное вознаграждение составляет 250 тыс. руб.
«Критически важно защищать ритейл-инфраструктуру. Распределенные системы, сотни интеграций и постоянный обмен данными с внешними сервисами делают ее привлекательной мишенью для атак. Публичные программы багбаунти позволяют привлечь широкий круг исследователей к поиску уязвимостей разного уровня опасности. Так, на нашей площадке в рамках открытых программ ритейл-вендоров выплачено более 37 млн руб. Подобный формат сотрудничества дает бизнесу возможность устранять реальные технические недостатки до того, как они будут использованы злоумышленниками», — отметил Азиз Алимов, руководитель Standoff Bug Bounty.
Для обеспечения защиты ИТ-инфраструктуры и управления инцидентами «Магнит» уже использует ряд решений Positive Technologies. В начале года ритейлер внедрил продукт для непрерывного мониторинга и выявления кибератак — MaxPatrol SIEM. Защиту веб-ресурсов в сети на протяжении двух лет обеспечивает межсетевой экран уровня веб-приложений PT Application Firewall. Кроме того, компания использует систему для обнаружения уязвимостей и эффективного управлениями ими — MaxPatrol VM.
Поделиться
Короткая ссылка
