Контур заплатит белым хакерам до миллиона рублей за найденные уязвимости
Контур объявил о запуске публичной программы багбаунти на платформе Standoff Bug Bounty. Исследователи смогут проверить защищенность ключевых сервисов компании, включая решения для отчетности, бухгалтерии и электронного документооборота, а за выявление критических уязвимостей получить вознаграждение до 1 млн рублей.
В рамках повышения уровня защищенности всей продуктовой линейки — от решения для интернет-отчетности и онлайн-бухгалтерии до сервисов ЭДО и платформ для коммуникаций и видеоконференций — компания Контур запустила публичную программу багбаунти. Сервисами Контура для ведения бизнеса, как отмечено в сообщении, пользуются более 3 млн клиентов.
Наиболее приоритетными, согласно сообщению, для компании будут уязвимости, связанные с аутентификацией, сценарии возможности компрометации учетных записей пользователей, server-side-уязвимости, а также уязвимости класса Broken Access Control, которые могут привести к массовой компрометации пользовательских данных. Для участия в тестировании открыты основные домены компании: kontur.ru, skbkontur.ru и серверные уязвимости, найденные на домене kontur.host. Максимальное вознаграждение для исследователей составит 1 млн рублей.
«Багбаунти — это часть зрелой культуры безопасности. Мы видим большую ценность в объединении корпоративной экспертизы и опыта внешних исследователей, — говорит Михаил Добровольский, заместитель генерального директора СКБ Контур, руководитель департамента корпоративного управления. — Публичный формат позволит ускорить поиск уязвимостей, повысить надежность сервисов и укрепить доверие клиентов к продуктам Контура».
По данным Positive Technologies, злоумышленники эксплуатировали уязвимости в каждой четвертой успешной атаке (28%) на организации в России (причем использовали и трендовые, и довольно старые образцы). Понимание всех этапов развития атаки — от получения первоначального доступа до выполнения сложных сценариев перемещения внутри сети и использования разных способов выгрузки данных — имеет ключевое значение для принятия обоснованных инвестиционных решений в сфере безопасности. Чтобы комплексно оценить защищенность, необходимо учитывать как актуальные техники злоумышленников, так и слабые места в корпоративной инфраструктуре. Одним из инструментов, позволяющих повысить устойчивость компаний к киберугрозам, является участие в программах багбаунти.
Standoff Bug Bounty — российская площадка для поиска уязвимостей в системах компаний, запущенная компанией Positive Technologies в мае 2022 года. За последние полтора года число белых хакеров на ней увеличилось более чем в три раза, а общее количество сданных отчетов — более чем в пять раз. Всего на платформе было опубликовано свыше 300 программ по поиску уязвимостей, а общий объем вознаграждений превысил 310 млн рублей.
Читайте также
