«Магнит» запустил публичную программу Bug Bounty с максимальной наградой 250 тысяч рублей

Один из крупнейших российских ретейлеров «Магнит» перевел свою программу для поиска уязвимостей на площадке Standoff Bug Bounty в публичный режим. Как сообщили в компании, программа была запущена в феврале 2024 года, сначала в закрытом формате, а теперь доступна для всех зарегистрированных исследователей на платформе.

В область тестирования входят клиентские и сервисные ресурсы сети: мобильное приложение для iOS и Android, сайт доставки, портал лояльности и другие системы. Размер вознаграждений был увеличен — за высокорисковые уязвимости можно получить до 120 тысяч рублей, а за особо опасные — до 250 тысяч рублей.

Как отмечается в сообщении, кибератаки остаются серьезной угрозой для розничной торговли, которая входит в топ-5 атакуемых отраслей. Багбаунти позволяет выявлять уязвимости до их эксплуатации злоумышленниками.

Продолжение ниже

Для защиты инфраструктуры «Магнит» использует продукты Positive Technologies: MaxPatrol SIEM для мониторинга инцидентов, PT Application Firewall для защиты веб-приложений и MaxPatrol VM для управления уязвимостями.

«Для нас безопасность — это не просто соответствие стандартам, а постоянное усложнение жизни для злоумышленника, — говорит Олег Лалаев, руководитель управления по безопасности данных и инфраструктуры«Магнит». — Мы выстроили многоуровневую защиту, но понимаем, что внутренний взгляд «зашорен». Публичная программа Bug Bounty — это наш способ привлечь глобальное сообщество белых хакеров для поиска сложных цепочек уязвимостей и логических ошибок, которые ускользают от автоматизированного сканирования. Каждый отчет от исследователя — это возможность устранить реальную угрозу до того, как ей воспользуются».