BI.Zone Bug Bounty

Продукт
Разработчики: BI.Zone (Безопасная Информационная Зона, Бизон)
Дата премьеры системы: 2022/08/25
Дата последнего релиза: 2023/11/02
Отрасли: Интернет-сервисы,  Информационная безопасность

Содержание

Основная статья: Багхантеры (Bughunter). Bug bounty. Поиск уязвимостей

2024

Запуск программы правительства Ленобласти

Ленобласть запускает новый этап проекта по поиску уязвимостей. Об этом BI.Zone сообщила 14 октября 2024 года.

Независимые исследователи смогут оценить уровень защищенности трех государственных информационных систем на платформе BI.ZONE Bug Bounty.

В рамках программы Багхантеры (Bughunter). Bug bounty. Поиск уязвимостей|багхантеры смогут искать уязвимости на официальном сайте Администрации Ленинградской области, а также на информационных порталах «Современное образование Ленинградской области» и «Животный мир Ленинградской области».

Вознаграждение за обнаруженную уязвимость будет зависеть от уровня ее критичности и может достигать 150 тысяч рублей. Второй этап багбаунти-программы Ленинградской области продлится до декабря 2024 года.

«
Область системно развивает инструменты обеспечения кибербезопасности инфраструктуры электронного правительства. Мы надеемся, что привлечение независимых исследователей к изучению потенциальных уязвимостей в цифровых системах региона позволит повысить устойчивость к актуальным киберугрозам и вовремя принять контрмеры, тем самым усилив защитный потенциал, – подчеркнул председатель комитета цифрового развития Ленинградской области Андрей Сытник.
»

«
Мы рады, что все больше организаций не только запускают программы на нашей платформе, но и расширяют их. Второй этап багбаунти-программы Ленинградской области позволит повысить уровень защищенности еще нескольких официальных информационных ресурсов региона. Совместная работа багхантеров и специалистов Ленобласти позволит постоянно получать информацию об уязвимостях внешнего периметра, оперативно исправлять их и предотвращать их эксплуатацию со стороны злоумышленников, — отметил Андрей Лёвкин, руководитель продукта BI.ZONE Bug Bounty.
»

Во время первого этапа багхантеры проверяли уровень защищенности нескольких государственных информационных систем, среди которых «Управление бюджетным процессом Ленинградской области», «Современное образование Ленинградской области», Портал государственных и муниципальных услуг Ленинградской области.

Запуск программы правительства Нижегородской области

Белые хакеры оценят уязвимость сайта правительства Нижегородской области. Об этом BI.Zone сообщила 30 сентября 2024 года.

Нижегородская область — четвертый субъект РФ, который запустил программу на BI.ZONE Bug Bounty.Метавселенная ВДНХ 4.6 т

В рамках программы независимые исследователи безопасности смогут проверить уровень защищенности официального информационного портала регионального кабмина.

«
Сайт нижегородского правительства ежедневно посещают тысячи граждан. Он содержит много полезной для нижегородцев информации, поэтому должен быть не только максимально удобен, но и максимально защищен. С 2022 года портал подвергается регулярным кибератакам. Успешных для злоумышленников попыток не было, и важно сохранять этот тренд, — подчеркнул заместитель губернатора Нижегородской области, руководитель регионального штаба по кибербезопасности Егор Поляков.
»

«
Мы делаем шаг в цифровое будущее — привлекаем к поиску уязвимостей госпортала так называемых белых хакеров. Их задача — найти возможные точки входа для злоумышленников. По итогам работы исследователей наши специалисты смогут усилить защиту портала, — отметил министр цифрового развития и связи Нижегородской области Александр Синелобов.
»

Запуск программы СОГАЗа

СОГАЗ запускает программу по поиску потенциальных уязвимостей на платформе BI.ZONE Bug Bounty. Об этом BI.Zone сообщила 30 сентября 2024 года.

Независимые исследователи получат вознаграждение за уязвимости, найденные в онлайн-сервисах и на сайтах компании.

Независимые исследователи безопасности смогут протестировать защищенность сайтов СОГАЗа и получить вознаграждение при обнаружении потенциальных угроз. Сумма выплаты будет зависеть от уровня критичности выявленного риска.

Цель программы — совершенствование инструментов кибербезопасности и повышение устойчивости информационных систем компании к атакам.

В программе участвуют 14 сайтов и онлайн-сервисов компании, среди которых официальный сайт, личный кабинет клиента, онлайн-сервис подачи обращений для клиентов.

«
Клиенты доверяют нам защиту своих финансовых интересов, имущества, бизнеса, а также жизни и здоровья. Поэтому обеспечить сохранность данных и надежность работы всех онлайн-сервисов не просто наша обязанность, а стратегический приоритет. Мы понимаем, что безопасность это не только технические меры, но и сотрудничество с сообществом исследователей. Их уникальный взгляд и опыт помогают нам выявлять уязвимости до того, как они станут угрозой. Вместе мы создаем более безопасную среду для наших клиентов и партнеров,
сказал Михаил Ильин, заместитель председателя правления СОГАЗа.
»

«
СОГАЗ уделяет большое внимание развитию цифровых сервисов и предлагает клиентам современные технологические решения. Выход на багбаунти — это еще один шаг в сторону повышения уровня защищенности сервисов. Благодаря помощи независимых исследователей компания сможет постоянно получать информацию об уязвимостях внешнего периметра, оперативно исправлять баги и предотвращать их эксплуатацию злоумышленниками,
отметил Евгений Волошин, директор департамента анализа защищенности и противодействия мошенничеству, BI.ZONE.
»

Запуск программы госсектором Волгоградской области

Волгоградская область — третий субъект РФ, который запустил программу на BI.ZONE Bug Bounty. Об этом BI.Zone сообщила 23 сентября 2024 года.

В рамках программы независимые исследователи безопасности смогут проверить уровень защищенности информационных ресурсов органов исполнительной власти Волгоградской области.

Сумма вознаграждения багхантерам будет зависеть от критичности обнаруженных уязвимостей.

«
Запуск программы на платформе BI.ZONE Bug Bounty — это не просто важный шаг в развитии кибербезопасности региона, но и возможность интеграции передовых методов поиска уязвимостей. Мы стремимся к тому, чтобы информационные ресурсы органов исполнительной власти Волгоградской области соответствовали самым высоким стандартам защиты, и привлечение багхантеров является важной частью этого процесса,
сказал Сергей Барыкин, заместитель директора ГБУ ВО «ЦИТ ВО».
»

«
Мы отмечаем все больший интерес к багбаунти как инструменту анализа защищенности внешнего периметра. За последний год на нашей платформе в 6 раз выросло число программ от госсектора. Привлечение сообщества исследователей безопасности позволит постоянно получать информацию об уязвимостях, оперативно исправлять баги и предотвращать их эксплуатацию злоумышленниками,
отметил Андрей Лёвкин, руководитель продукта BI.ZONE Bug Bounty.
»

Запуск трех программ «Сбера»

Сбер запускает на BI.ZONE Bug Bounty три программы по поиску уязвимостей. Об этом BI.Zone (Безопасная Информационная Зона, Бизон) сообщила 22 августа 2024 года.

Независимые исследователи смогут получить до 500 тысяч рублей за обнаруженные баги.

Сервисами экосистемы Сбера по всей России пользуются более 100 миллионов клиентов, а ежемесячная аудитория  «СберБанка Онлайн» — более 82 миллионов пользователей. Компания стремится обеспечить лучший пользовательский опыт и безопасность цифровых сервисов, поэтому запускает программы по поиску уязвимостей в трех ресурсах:

  • официальный сайт Сбербанка,
  • «СберБанк Онлайн»,
  • «СберИнвестиции».

В онлайн-банкинге исследователи смогут искать баги:

  • в веб- и мобильных версиях «СберБанка Онлайн» для iOS и Android;
  • мессенджере онлайн-банка;
  • «Сбер ID» — сервисе для входа на сайты и в приложения экосистемы.

В «СберИнвестициях» багхантерам предлагается исследовать веб- и мобильное приложение.

«
Сбер постоянно развивает различные инструменты обеспечения кибербезопасности клиентов, продуктов и собственной инфраструктуры. Запуск публичной программы Сбера на платформе BI.ZONE Bug Bounty мы рассматриваем как еще один важный шаг в достижении таких целей. Мы рассчитываем, что при поддержке сообщества этичных хакеров и компании BI.ZONE в скором времени программа Сбера станет одной из самых активных и конкурентоспособных программ багбаунти,
сказал Сергей Крайнов, начальник управления экспертизы кибербезопасности, Сбер.
»

 

«
Мы рады, что к нашей платформе присоединился один из ключевых игроков рынка финтеха. Совместная работа независимых исследователей на нашей платформе и специалистов Сбера позволит повысить устойчивость сервисов экосистемы к актуальным киберугрозам и обеспечить сохранность данных пользователей,
отметил Евгений Волошин, директор департамента анализа защищенности и противодействия мошенничеству, BI.ZONE.
»

Запуск программы по выявлению уязвимостей в решении VMmanager

ISPsystem разместит на платформе BI.ZONE Bug Bounty свое ИТ-решение для создания отказоустойчивой среды виртуализации VMmanager. Об этом BI.Zone сообщила 25 июля 2024 года.

Багхантеры (Bughunter). Bug bounty. Поиск уязвимостей|Багхантеры проверят защищенность платформы виртуализации, а BI.ZONE займется приемом и анализом отчетов. Выплата белым хакерам за найденную уязвимость может достигать 100 000 рублей, и ее размер будет зависеть от уровня критичности. 

«
Платформа VMmanager уже зарекомендовала себя как надежное решение для управления виртуальными машинами. Выход на BI.ZONE Bug Bounty подтверждает нашу постоянную приверженность обеспечению надежной защиты информационных систем. Эта программа также стимулирует коллективные усилия по укреплению безопасности информационных систем на всех уровнях, что делает наше партнерство еще более ценным,
сказал Павел Гуральник, генеральный директор, ISPsystem.
»

«
Еще одна программа от группы компаний «Астра» — шаг в сторону того, чтобы повысить уровень безопасности ее ПО. Участие в багбаунти-программе позволяет организациям привлечь большое количество независимых исследователей, которые при поиске уязвимостей применяют различные подходы и инструменты,
отметил Евгений Волошин, директор департамента анализа защищенности и противодействия мошенничеству, BI.ZONE.
»

Размещение программы «Ситидрайва»

Ситидрайв предложил независимым исследователям проверить защищенность его ресурсов. Запуск публичной программы на BI.ZONE Bug Bounty повысит уровень кибербезопасности компании. Об этом BI.Zone сообщила 22 июля 2024 года. Подробнее здесь.

Размещение программы «СберФакторинга»

СберФакторинг предлагает независимым исследователям кибербезопасности проверить защищенность своих ресурсов на платформе BI.ZONE Bug Bounty. Программа охватывает сайт компании, а также личный кабинет клиента. Вознаграждение за подтвержденную уязвимость зависит от уровня ее критичности. Об этом компания BI.Zone сообщила 31 января 2024 года.

«
Мы являемся лидером на рынке факторинга и активно используем последние решения, чтобы сделать работу сервисов для наших клиентов быстрее и удобнее. Внедрение новых технологий может нести с собой и новые риски, поэтому наша большая команда ежедневно прилагает усилия, чтобы обеспечить бесперебойную и безопасную работу ресурсов. Размещение программы на BI.ZONE Bug Bounty — это возможность еще раз, теперь с помощью сторонних специалистов, убедиться в максимальном уровне защиты СберФакторинга и данных наших клиентов, — заявил Андрей Глушак, директор по информационным технологиям, СберФакторинг.
»

«
Багхантеры (Bughunter). Bug bounty. Поиск уязвимостей|Багбаунти позволяет организациям при помощи большого количества независимых исследователей изучить потенциальные уязвимости в своих ИТ-системах. Мы уверены, что сотрудничество поможет СберФакторингу в поддержке непрерывности процессов безопасности, а также позволит повысить устойчивость к актуальным киберугрозам, — сообщил Евгений Волошин, директор департамента анализа защищенности и противодействия мошенничеству, BI.ZONE.
»

2023

Размещение программы «Банка Хоум»

Хоум Банк предлагает независимым исследователям кибербезопасности, зарегистрированным на платформе BI.ZONE Bug Bounty, проверить защищенность своих информационных систем. Публичная программа охватывает домены home.bank, homecredit.ru, а также интернет-банк и мобильное приложение. Размер вознаграждения зависит от критичности обнаруженных уязвимостей и может достигать 200 000 рублей. Об этом банк сообщил 2 ноября 2023 года.

«
Обеспечение безопасной и бесперебойной работы наших сервисов – ключевой приоритет в работе банка. Мы регулярно проводим анализ защищенности наших систем как своими силами, так и с привлечением внешних специализированных компаний. В дополнение к этому мы запускаем программу поиска уязвимостей в публичном режиме для того, чтобы все желающие багханеры помогали нам становиться еще более защищенными и обеспечивать максимально возможный уровень защиты данных и денежных средств наших клиентов, – отметил директор департамента информационной безопасности Хоум Банка Николай Клендар.
»

«
Согласно мировой статистике, финансовые организации входят в число самых активных пользователей услуг багхантеров. Тренд характерен и для России: по данным BI.ZONE Bug Bounty, 37% спроса на багхантинг приходится на компании из финсектора. Организации с высоким уровнем цифровизации пробуют новые инструменты выявления уязвимостей, потому что заинтересованы в максимальной комплексной защите. Запуск программы багбаунти Хоум Банка говорит о зрелых процессах и серьезном подходе к обеспечению безопасного бесперебойного функционирования цифровых сервисов, — заявил Евгений Волошин, директор департамента анализа защищенности и противодействия мошенничеству, директор по стратегии BI.ZONE.
»

Запуск на BI.Zone BugBounty программы по поиску уязвимостей операционных систем

ГК «Астра», российский разработчик операционных систем, 24 августа 2023 года сообщила о запуске на BI.ZONE BugBounty программы по поиску уязвимостей операционных систем.

Проверяться будет операционная система Astra Linux Special Edition. В рамках партнерства с BI.ZONE «Астра» разместит на платформе публичную программу с денежными выплатами. Компания будет платить независимым исследователям за реализацию внутри системы недопустимых событий с авторским механизмом разграничения доступа, а также с функционирующей замкнутой программной средой. BI.ZONE со своей стороны обеспечит багхантерам доступ к программе, прием и обработку отчетов, а при подтверждении уязвимости проведет выплату вознаграждения. В зависимости от уровня критичности уязвимости размер выплаты может достигать 250 000 рублей, а уязвимости категории «critacal» будут рассматриваться в индивидуальном порядке.

В ГК «Астра» уверены, что багбаунти может принести более весомые результаты, чем классический анализ защищенности.

«
Мы готовы платить не просто за найденные ошибки, а именно за реализацию недопустимых событий. Это подход, который в России еще почти никто не практиковал. В нашей компании развернуты процессы безопасной разработки; вместе с тем нам важно выявить проблемы, которые могут привести к негативным последствиям в инфраструктуре заказчика. Уверен, что это позитивно отразится на репутации ГК «Астра» как зрелого разработчика, уверенного в надежности и безопасности своего ПО,
заявил Илья Сивцев, генеральный директор ГК «Астра».
»

ГК «Астра» планирует распространить текущую программу на другие подсистемы безопасности и продукты. Для всех желающих — как профессионалов, так и энтузиастов в области кибербезопасности — «Астра» опубликует специальный постоянно обновляемый образ ОС с выполненными настройками безопасности, тестирование эффективности которых особенно интересно разработчикам.

«
Появление на нашей платформе программы, которая направлена на поиск уязвимостей в операционных системах, является для нас большим шагом. Мы рады сотрудничеству с опытным разработчиком, чьи решения находят эффективное применение в организациях с высокими стандартами защиты информации. Открытие своей багбаунти-программы поможет «Астре» и дальше поддерживать высокую устойчивость к постоянно развивающимся и меняющимся киберугрозам,
отметил Евгений Волошин, директор департамента анализа защищенности и противодействия мошенничеству, BI.ZONE.
»

BI.ZONE BugBounty связывает организации и независимых исследователей безопасности. Компании размещают на платформе программы по поиску уязвимостей, в которых участвуют багхантеры. Они получают вознаграждение от владельцев программ за найденные уязвимости. Этот подход позволяет привлечь широкий круг специалистов к поиску слабых мест в системе безопасности.

Импортозамещение «белых хакеров». Определены главные тренды Bug Bounty в России

Первопроходцами в применении bug bounty были крупные компании из финансовой сферы, ритейла, ИТ. Теперь же и средний, и даже малый бизнес приходит к тому, что это эффективный инструмент анализа защищённости. Такой тренд отмечают в компании BI.Zone, которая 24 августа 2023 года подвела итоги работы своей платформы BI.Zone Bug Bounty за год. Подробнее здесь.

Размещение программы «СберАвто»

Сервис для выбора, покупки и продажи автомобилей СберАвто будет платить Багхантеры (Bughunter). Bug bounty. Поиск уязвимостей|багхантерам за обнаруженные уязвимости. Об этом компания СберАвто сообщила 4 июля 2023 года.

Программа на BI.ZONE Bug Bounty охватит сайт sberauto.com, веб-сервисы всех поддоменов .sberauto.com и мобильное приложение «СберАвто» на платформе Android. В зависимости от критичности угрозы, вознаграждение за подтвержденные уязвимости составит до 250 000 рублей.

«
В 2020 году команда СберАвто запустила сервис, который позволил реализовать элементы процесса покупки и продажи автомобилей в онлайн. За последний год наша аудитория кратно выросла, и мы чувствуем еще большую ответственность за безопасность клиентов. Багбаунти для нас — это прежде всего открытость, внимание к защите данных и забота о будущем компании. Уверены, что вместе с исследователями мы повысим защищенность СберАвто, чтобы гарантировать пользователям безопасность данных,
сказал Кирилл Ильин, директор департамента безопасности, СберАвто.
»

«
Программы багбаунти обеспечивают бизнесу непрерывность процессов безопасности. Компания получает доступ к неограниченному количеству исследователей, каждый со своим подходом к поиску уязвимостей. Объединение усилий штатных специалистов и багхантеров позволяет покрыть весь спектр угроз, который постоянно растет и меняется. Благодаря своей багбаунти-программе СберАвто повысит устойчивость к современным продвинутым угрозам и укрепит защиту персональных данных пользователей,
отметил Евгений Волошин, директор департамента анализа защищенности и противодействия мошенничеству в компании BI.ZONE.
»

Включение в реестр отечественного ПО

В конце марта 2023 года Министерство цифрового развития, связи и массовых коммуникаций РФ зарегистрировало BI.ZONE Bug Bounty в реестре отечественного ПО. Теперь платформа официально входит в число продуктов, которые могут использовать компании с государственным участием. Об этом компания BI.Zone сообщила 18 мая 2023 года.

Программы багбаунти — один из самых эффективных способов обнаружить уязвимости в кибербезопасности компаний. В их развитии заинтересованы как бизнес, так и государство.

BI.ZONE Bug Bounty объединяет независимых исследователей и организации. Платформа также работает с программой Министерства цифрового развития, связи и массовых коммуникаций (Минцифры РФ). С помощью BI.ZONE Bug Bounty компании узнают, насколько защищена их внешняя инфраструктура, а багхантеры получают вознаграждение за найденные уязвимости. Это одна из первых подобных площадок в России. После ухода иностранных вендоров множество независимых исследователей стали ее постоянными пользователями.

Платформа также помогает бизнесу, если во время запуска программ багбаунти возникают сложности. BI.ZONE Bug Bounty берет на себя проведение выплат, оформление сотрудничества, а также упрощает поиск багхантеров. Кроме того, при необходимости эксперты BI.ZONE проверяют найденные уязвимости, освобождая ресурсы компании для других задач.

«
Внесение BI.ZONE Bug Bounty в реестр Минцифры — важное для нас событие. Это открывает дополнительные возможности использования платформы. Теперь мы готовы помогать еще большему количеству организаций. Мы верим, что наше решение сделает бизнес безопаснее и надежнее,
сказал Евгений Волошин, директор департамента анализа защищенности и противодействия мошенничеству, директор по стратегии BI.ZONE.
»

Размещение программы «Звука»

Звук будет платить независимым багхантерам с платформы BI.ZONE Bug Bounty за обнаружение потенциальных уязвимостей безопасности в продуктах и технологических решениях в рамках запущенной программы. Об этом 26 апреля 2023 года сообщила компания BI.Zone.

Поиск багов будет происходить в приложении аудиосервиса Звук и его веб-версии после масштабных обновлений, а также в двух доменах сервиса для развития артистов и подкастеров СТУДИО. Вознаграждение составит до 50 000 рублей.

Инициатива Звука по созданию собственной программы багбаунти связана с интенсивным развитием сервиса и продиктована необходимостью проверить на прочность продукты, чтобы усовершенствовать систему безопасности. Программа багбаунти позволит с помощью опытных исследователей проверить продукты на наличие слабых мест и уязвимостей. Например, выявить потенциальные недостатки механизмов авторизации и аутентификации пользователей, которые позволяют получить несанкционированный доступ к конфиденциальной информации и функциям приложения.

Вознаграждение для независимых экспертов напрямую зависит от найденной уязвимости, сложности ее обнаружения и потенциального ущерба.

«
Защита данных пользователей — приоритет номер один. Мы активно развиваем сервисы, создаем новые продукты и постоянно растем, поэтому нам нужен свежий взгляд и экспертиза от независимых профессионалов. Безопасность превыше всего, поэтому мы готовы платить каждому, кто обнаружит потенциальные слабости в нашей защите в рамках совместной программы с платформой BI.ZONE Bug Bounty. Такая практика уже зарекомендовала себя как эффективная, и мы возлагаем большие надежды на сотрудничество с багхантерами,
сказал Александр Коржов, директор департамента информационной безопасности HiFi-стриминга Звук.
»

«
Список программ на BI.ZONE Bug Bounty продолжает расти — это подтверждает востребованность рынка багбаунти. Мы рады, что Звук выбрал нашу платформу. Открытие программы поможет сервису улучшить защищенность инфраструктуры. При этом мы надеемся, что выход Звука на багбаунти позволит компании укрепить доверие клиентов и дать импульс к развитию безопасности на рынке стриминга,
отметил Евгений Волошин, директор департамента анализа защищенности и противодействия мошенничеству, директор по стратегии BI.ZONE.
»

Размещение программы Timeweb

Провайдер Timeweb заплатит независимым исследователям за найденные уязвимости. Об этом 13 апреля 2023 года сообщила компания BI.Zone.

Группа компаний Timeweb с помощью BI.ZONE запускает публичную программу багбаунти, чтобы проверить безопасность сервисов и продуктов. Независимые исследователи получат от 10 000 до 250 000 рублей в зависимости от критичности найденных уязвимостей.

«
Безопасность наших сервисов — наш ключевой приоритет, мы всегда привлекаем хороших специалистов по кибербезопасности и сотрудничаем с платформами багбаунти. И мы рады, что ребята из BI.ZONE стали нашими партнерами в этом направлении. Публичная программа, которую мы разместили на платформе BI.ZONE Bug Bounty, дает возможность присоединиться к аудиту наших систем новому экспертному комьюнити и усилить непрерывное покрытие наших сервисов новыми исследованиями на безопасность,
сказал Андрей Баширов, генеральный директор группы компаний Timeweb.
»

«
Запустив программу багбаунти на нашей платформе, Timeweb продемонстрировала ответственность и внимание к безопасности пользователей. Мы убеждены, что работа с багхантерами даст компании возможность значительно повысить уровень защищенности сервисов. Наша платформа поможет Timeweb обеспечить максимальную эффективность от размещения публичной программы багбаунти,
отметил Евгений Волошин, директор департамента анализа защищенности и противодействия мошенничеству, директор по стратегии BI.ZONE.
»

Размещение программы «СберМаркета»

Онлайн-сервис доставки продуктов «СберМаркет» разместил публичную программу по поиску уязвимостей на платформе BI.ZONE Bug Bounty. «СберМаркет» будет платить вознаграждение за потенциальные уязвимости, найденные в его онлайн-сервисах. Об этом компания BI.Zone сообщила 21 марта 2023 года.

По программе багбаунти любому пользователю предлагается проверить безопасность сайта и мобильного приложения компании. В качестве вознаграждения багхантеры получат до 250 000 рублей, в зависимости от критичности найденных уязвимостей.

Безопасность сайта и мобильного приложения — один из главных приоритетов «СберМаркета», поэтому сервис продолжает фокусироваться на защите пользовательских данных, операций, оплат и других важных для клиента функций.

Дмитрий Бобылев, вице-президент по технологиям, «СберМаркет»

Багбаунти — новый рынок для России, он быстро набирает обороты. Все больше компаний стремятся увеличить безопасность с помощью независимых исследователей. Эксперты передового онлайн-сервиса «СберМаркет» понимают важность киберзащиты. Мы рады, что компания пришла именно на нашу платформу для проверки инфраструктуры.

«
BI.ZONE Bug Bounty связывает компании и багхантеров. Бизнесу платформа помогает повысить защищенность ИТ-активов, содействуя в запуске программ багбаунти. Багхантерам комфортнее проводить исследования безопасности: сообщать об уязвимостях, не опасаясь уголовного преследования, выбирать программы багбаунти по своим интересам и получать вознаграждение без организационных помех,
сказал Евгений Волошин, директор департамента анализа защищенности и противодействия мошенничеству, директор по стратегии, BI.ZONE.
»

Размещение программы «Тинькофф»

20 января 2023 года Тинькофф банк запустил публичную программу по поиску ошибок и уязвимостей в своих сервисах за вознаграждение на платформе BI.ZONE Bug Bounty. В ней могут участвовать любые исследователи безопасности из России и стран ЕАЭС. Об этом банк сообщил 20 января 2023 года.

В рамках программы bug bounty «белые хакеры» будут искать пробелы в безопасности на сайтах и в мобильных приложениях основных направлений бизнеса и сервисов Тинькофф Банка, Тинькофф Инвестиций, Тинькофф Бизнеса, Тинькофф Страхования и других.

В области действия программы только технические уязвимости. При этом размер вознаграждения зависит от критичности как самой уязвимости, так и системы, в которой ее обнаружили. Максимальная выплата на момент запуска программы — 150 000 ₽.

Багхантеры при желании могут отказаться от вознаграждения в пользу благотворительности. В таком случае Тинькофф увеличит сумму выплаты в 5 раз и отправит ее в один из благотворительных фондов на усмотрение исследователя. Список фондов указан в приложении Тинькофф в разделе «Благотворительность». Все невостребованные в течение года награды также будут направлены в пользу проверенных фондов.

«
Мы рады присоединиться к платформе BI.ZONE Bug Bounty и запустить свою публичную программу. Наша экосистема быстро развивается, и мы применяем мировые практики безопасной разработки, регулярно проводим внешние аудиты защищенности наших приложений. Дополнительно, чтобы подтвердить высокий уровень защиты миллионов наших клиентов, мы готовы использовать опыт большой аудитории исследователей в этой области, как это делают крупные компании по всему миру,
сказал Дмитрий Гадарь, директор департамента информационной безопасности Тинькофф.
»

Тинькофф уже много лет развивает собственную программу bug bounty, как в приватном, так и в публичном форматах на различных площадках.

«
Банковский и финансовый секторы находятся в топе самых атакуемых хакерами отраслей. Защита данных и денег своих клиентов — приоритет для игроков этого рынка. Размещая публичную программу, Тинькофф делает правильный выбор, ведь программы bug bounty зарекомендовали себя по всему миру. Их число ежегодно растет, а найденные уязвимости исчисляются десятками тысяч,
отметил Евгений Волошин, директор по стратегии, директор департамента анализа защищенности и противодействия мошенничеству в BI.ZONE.
»

2022

Размещение программы Ozon

Ozon предлагает Багхантеры (Bughunter). Bug bounty. Поиск уязвимостей|багхантерам проверить безопасность сайта компании, учетных систем, карьерного портала и мобильных приложений покупателя. За подтвержденные уязвимости независимые исследователи получат вознаграждение от 5000 до 100 000 ₽. Об этом 19 декабря 2022 года сообщила компания BI.Zone.

В 2020 году Ozon уже запускал публичную программу bug bounty на зарубежной платформе.

«
За последние два года приоритеты бизнеса Ozon в отношении кибербезопасности остались прежними, а необходимость в защищенности и стабильности продуктов только возросла за этот период. Bug bounty — это неотъемлемая часть безопасности интернет-сервисов, поэтому мы активно работали над возобновлением программы. Будем рады багхантерам, с которыми уже успели поработать, и надеемся увидеть больше новых лиц в нашем комьюнити! — сказал Тимофей Черных, руководитель группы продуктовой безопасности Ozon.
»

BI.ZONE Bug Bounty — это хаб, связывающий бизнес и независимых исследователей безопасности. На платформе организации размещают для багхантеров программы по поиску уязвимостей. Такой подход позволяет привлечь большой круг специалистов к поиску слабых мест в системе безопасности бизнеса.

«
Выход на bug bounty такого бренда, как Ozon, говорит о росте зрелого подхода к вопросам кибербезопасности. Культура взаимоотношений бизнеса и независимых исследователей меняется в лучшую сторону. Мы рады способствовать этому процессу и уверены, что поможем компании Ozon укрепить безопасность инфраструктуры, — отметил Евгений Волошин, директор по стратегии, директор департамента анализа защищенности и противодействия мошенничеству BI.ZONE.
»

Размещение программы «Авито»

На платформе BI.ZONE Bug Bounty «Авито» запустила публичную программу bug bounty. По ней предлагается проверить безопасность всех веб- и мобильных приложений компании, а также любых доступных приложений и сервисов, размещённых на поддоменах .avito.ru. Багхантеры получат от 5000 до 350 000 рублей в зависимости от критичности найденных уязвимостей. Об этом компания BI.Zone сообщила 30 ноября 2022 года.

«
Bug bounty — один из самых важных и полезных процессов при разработке продукта, обеспечивающий его безопасность. С помощью BI.ZONE Bug Bounty мы хотим наладить постоянное взаимодействие с комьюнити багхантеров по исследованию наших систем на безопасность и дополнительно повысить уровень защищенности портала, — сказал Валентин Лякутин, руководитель продуктовой безопасности «Авито».
»

«Авито» впервые использовала bug bounty в 2018 году. Компания разместила приватную программу на одной из зарубежных платформ. До весны 2022 года команда «Авито» успела запустить монетизацию этой программы и попробовать еще одну, комбинируя публичные и приватные механизмы для достижения наилучшего результата.

«
Размещение программы bug bounty «Авито» говорит о том, что компания заботится о своих клиентах и стремится повысить их защищенность. Она понимает, что безопасность — конкурентное качество, поэтому уделяет этому особое внимание. При создании BI.ZONE Bug Bounty мы учитывали это и другие ожидания бизнеса, который ранее размещал программы на зарубежных площадках. Поэтому в нашей платформе реализованы наиболее востребованные и качественные практики рынка. «Авито», запуская программу у нас, получит разностороннюю проверку безопасности от независимых исследователей России и СНГ, — отметил Евгений Волошин, директор по стратегии BI.ZONE.
»

BI.ZONE Bug Bounty связывает компании и багхантеров. Бизнесу платформа помогает повысить защищенность ИТ‑активов, содействуя в запуске программ bug bounty. Багхантерам комфортнее проводить исследования безопасности: сообщать об уязвимостях, не опасаясь уголовного преследования, выбирать программы bug bounty по своим интересам и получать вознаграждение без организационных помех.

Размещение программы VK

VK разместила свою программу по поиску уязвимостей (bug bounty) на платформе BI.ZONE Bug Bounty. Об этом компания BI.Zone сообщила 21 ноября 2022 года. В программу VK на ноябрь 2022 года входят 27 проектов: ВКонтакте, Одноклассники, Почта Mail.Ru и многие другие. В случае выявления уязвимостей исследователи безопасности получат от компании вознаграждения от 3 тыс. рублей до 1,8 млн рублей в зависимости от уровня критичности угрозы.

«
Расширение списка профессиональных платформ bug bounty, с которыми мы сотрудничаем, позволяет дополнительно усилить защищенность сервисов VK и повышает доверие пользователей к ним. Мы благодарны коллегам из BI.ZONE Bug Bounty за размещение нашей программы на их платформе и уверены, что, работая вместе, мы только ускорим процесс поиска уязвимостей и их оперативного устранения, — отметил вице-президент, директор по информационной безопасности VK Алексей Волков.
»

«
VK разместит на нашей платформе BI.ZONE Bug Bounty 27 проектов с различной инфраструктурой и сервисами. Мы рады, что VK решила дополнительно проверить защищенность своих сервисов с помощью нашей платформы. Уверен, это станет многогранным и интересным опытом для всех независимых исследователей, которые захотят попробовать свои силы в данной программе, — отметил директор по стратегии BI.ZONE Евгений Волошин.
»

Анонс BI.Zone Bug Bounty

25 августа 2022 года компания BI.Zone представила платформу BI.Zone Bug Bounty, на которой прошли предрегистрацию более 300 багхантеров. «Авито» станет первой компанией, которая разместит свою публичную программу bug bounty.

BI.Zone Bug Bounty

По информации компании, BI.ZONE Bug Bounty — это хаб между компаниями и независимыми исследователями. На платформе организации размещают программы по поиску уязвимостей, в которых участвуют багхантеры.

«
На глобальном рынке программы bug bounty уже доказали свою эффективность. Их число за последние три года выросло на треть по всему миру, а за 2021 год багхантеры обнаружили более 70 тысяч валидных уязвимостей. Если раньше bug bounty могли позволить себе только крупные организации, на август 2022 года запустить такую программу может бизнес любого масштаба. Появление российской платформы делает участие в bug bounty еще доступнее.

рассказал Евгений Волошин, директор блока экспертных сервисов BI.ZONE
»

Бизнесу платформа помогает оптимизировать киберустойчивость и сотрудничать с независимыми исследователями. Также она позволит компаниям запускать публичное или приватное тестирование с оптимальными условиями и размерами вознаграждений, привлекать экспертов с разными подходами, а также снять с себя рутину верификации полученной информации об уязвимостях.

Багхантерам платформа дает возможность легально сообщать компаниям об уязвимостях, получать за это вознаграждения и выбирать наиболее удобные варианты зачисления средств. Также у исследователей будет учитываться рейтинг, накопленный на международных платформах.

Эксперты BI.ZONE будут содействовать в решении спорных вопросов между компаниями и исследователями. Также команда BI.ZONE планирует развивать комьюнити багхантеров.

«
Один из главных принципов, на который мы ориентировались при создании платформы, — это прозрачность и удобство взаимодействия между компанией и независимыми исследователями. Поэтому разработкой занимались ребята, которые раньше сами были багхантерами. Исследователи получат инструменты для работы с отчетами и будут принимать выплаты от компаний любым способом.

рассказал Евгений Волошин, директор блока экспертных сервисов BI.ZONE
»

Компания объявила, что запускает публичную программу bug bounty для самой платформы. Компания будет выплачивать независимым исследователям до 300 000 рублей в зависимости от критичности и вероятности использования обнаруженной уязвимости.



СМ. ТАКЖЕ (26)