Компания «Авито» увеличила максимальную награду за сысканные в своих продуктах критические уязвимости. Исследователи безопасности смогут получить за них до 500 тысяч рублей в масштабах программы выплат на платформе BI.ZONE Bug Bounty. Это позволит привлечь больше наружных профессионалов, чтобы сделать сервисы «Авито» более безопасными для пользователей, особенно учитывая общий рост спроса на такие программы на рынке. В 2025 году «Авито» планирует увеличить затраты на кибербезопасность на 50% при сравнении с 2024 годом.
«Авито» стал одним из первых игроков российского рынка онлайн-коммерции, кто запустил собственную инициативу для багхантеров. Инициатива Bug Bounty позволяет компании поддерживать систему непрерывного мониторинга рисков безопасности. По её вине команде удается оперативно накрывать уязвимости и минимизировать потенциальные потери. Размер вознаграждения за сысканную уязвимость определяется десятками критериев, включая воздействие бага на бизнес платформы, сложность его исправления, широту аудитории, которую он в состоянии охватить, и прочими.
Участники программы могут проверить безопасность всех мобильных и веб-приложений компании, а также любых доступных сервисов, размещенных на поддоменах *.avito.ru. Задача исследователей - сыскать оплошности в коде, которые влияют на безопасность сервисов «Авито». Например, малосильные места, которые позволяют получить доступ к данным пользователей, платежной информации, важным файлам или повлиять на стабильную работу сайта.
BI.ZONE отмечает рост интереса бизнеса к программам поиска уязвимостей: средняя выплата на платформе выросла в течение года на 14% до 44 тыс. рублей, а количество программ от компаний достигло 98, увеличившись почти вдвое при сравнении с 2023 годом. На этом фоне «Авито» устремляется предоставить наиболее обольстительное предложение для исследователей.
«Помимо Bug Bounty, команда кибербезопасности "Авито" развивает систему защиты, которая внедряется с начальных стадий разработки. На каждом этапе разработки продукта используются сканеры для проверки кода на наличие уязвимостей, а также проводятся ручные аудиты безопасности – профессионалы имитируют потенциальные действия преступников. Технические команды проходят обучение безопасной разработке. Такой комплексный подход позволяет создавать механизмы безопасности и поддерживать высокий уровень защиты сервисов Авито от взломов и утечек», - говорил руководитель по информационной безопасности «Авито» Андрей Усенок.
«Программа Bug Bounty позволяет повысить уровень защищенности ресурсов компании. При этом развитие программ и увеличение выплат - с помпой шаг, который позволяет привлечь больше многоопытных самостоятельных исследователей и повысить уровень защищенности ресурсов. Мы видим растущий интерес крупных компаний к инвестициям в безопасность своих цифровых ресурсов. BI.ZONE Bug Bounty предоставляет бизнесу эффективный механизм выявления и устранения угроз, а багхантерам - вознаграждение за работу», - добавил руководитель продукта BI.ZONE Bug Bounty Андрей Лёвкин.