На днях Авито объявил об увеличении выплаты за обнаружение критической уязвимости в своих продуктах. Суть работы, простыми словами, найти способ взломать сайт и помочь таким образом избежать подобного взлома в реальности. Такая практика существует не один год. Так два года назад Минцифры предлагал взломать «Госуслуги» и Единую систему идентификации и аутентификации, а выплаты брал на себя Ростелеком. Сегодняшняя тенденция: хакеры совершенствуют мастерство — компании повышают ставки.
Исследователи безопасности смогут получить от Авито до 500 тысяч рублей в рамках программы выплат на платформе BI.ZONE Bug Bounty. При этом размер вознаграждения за найденную уязвимость определяется десятками критериев, включая влияние бага на бизнес платформы, сложность его исправления, широту аудитории, которую он может охватить, и другими.
В компании считают, что повышение гонорара привлечет больше внешних специалистов. В 2025 году Авито планирует увеличить затраты на кибербезопасность на 50% по сравнению с 2024 годом. При этом Интерфакс ранее сообщал со ссылкой на исследование Лаборатории Касперского, что российские компании к 2025 году планируют нарастить расходы на информационную безопасность в среднем на 14%, при этом представители МСБ — на 12%, а крупный бизнес — на 16%.
BI.ZONE отмечает рост интереса бизнеса к программам поиска уязвимостей: средняя выплата на платформе выросла за год на 14% до 44 тыс. рублей, а количество программ от компаний достигло 98, увеличившись почти вдвое по сравнению с 2023 годом.
Обычно в задачи исследователя безопасности входит проверка всех мобильных и веб-приложений компании, а также любых доступных сервисов компании, поиск ошибок в коде, которые влияют на безопасность сервисов. В Авито это могут слабые места, которые позволяют получить доступ к данным пользователей, платежной информации, важным файлам или повлиять на стабильную работу сайта.
«На каждом этапе разработки продукта используются сканеры для проверки кода на наличие уязвимостей, а также проводятся ручные аудиты безопасности – специалисты имитируют потенциальные действия злоумышленников», — рассказал Андрей Усенок, руководитель по информационной безопасности Авито.
«Мы видим растущий интерес крупных компаний к инвестициям в безопасность своих цифровых ресурсов», — поделился Андрей Лёвкин, руководитель продукта BI.ZONE Bug Bounty. Он добавил, что платформа с одной стороны предлагает бизнесу механизм выявления и устранения угроз, с другой стороны багхантерам — вознаграждение за работу.
VK
OK
Дзен
MAX