Т-Банк запустил новую программу пентеста
"Т-Технологии" объявили о запуске новой программы поиска уязвимостей в Т-Банке. Помимо стандартных поисков уязвимостей введен формат поиска "недопустимых событий", которые должны подтвердить устойчивость ключевых систем и процессов к критическим воздействиям. За нахождение таких уязвимостей компания готова платить до 3 млн руб, подробнее в материале SecPost.
«Т-Технологии» запускают новую программу поиска уязвимостей в Т-Банке , которая должна расширить существующую практику. «Помимо стандартного формата выявления технических багов, компания запускает новое направление — тестирование «недопустимых событий», то есть сценариев, способных подтвердить устойчивость ключевых систем и процессов к критическим воздействиям», — рассказали в компании.
По их словам программа реализована по принципу pay-for-impact: вознаграждение выплачивается не просто за найденную уязвимость, а за продемонстрированный сценарий, который способен проверить устойчивость экосистемы. «При этом исследователям не ставятся жёсткие ограничения по вектору атак — разрешено искать слабые места в мобильных приложениях, API, бизнес-логике, интеграциях с партнерами и других элементах цифровой инфраструктуры». Предварительные результаты программы планируется опубликовать в апреле 2026 года. Тестирование будет проходить на платформе Standoff Bug Bounty, за обнаружение недопустимых событий компания выплатит 3 млн руб, за реализацию промежуточных событий: от 100 тыс руб до 1,5 млн руб в зависимости от влияния и сложности PoC.
Задача не заменить стандартный поиск багов, а дополнить его новым направлением: стимулировать исследователей искать комплексные сценарии, которые позволяют на практике подтвердить защищенность систем, подчеркивает руководитель департамента информационной безопасности Т-Банка Дмитрий Гадарь. Он также добавил, что сейчас программа работает в приватном режиме — она недоступна публично и открыта только для ограниченного круга исследователей, однако в дальнейшем компания планирует расширять участие.
Среди сценариев «недопустимых событий» в Т-Банке называют следующие события, которые проверяют устойчивость ключевых компонентов инфраструктуры. Среди них: попытки несанкционированного доступа к внутренним сервисам; закрепление на сервере базы данных от привилегированной учетной записи; внедрение кода в цепочку релизов продуктов; обход механизмов защиты и мониторинга.
«Для банковской отрасли важно не только находить уязвимости, но и уметь доказывать защищённость своих систем. Мы рассчитываем, что подобный подход станет отраслевым стандартом прозрачности и доверия в сфере финансовых технологий», — заключил Дмитрий Гадарь.
