«Контур» запустил публичную программу для поиска уязвимостей на площадке Standoff Bug Bounty. Более 30 тыс. исследователей безопасности смогут протестировать всю продуктовую линейку бизнеса. Максимальное вознаграждение за реализацию особо опасных сценариев составит до 1 млн руб. Об этом CNews сообщили представители Positive Technologies.

«Контур» — российский разработчик программного обеспечения. Более 3 млн клиентов используют сервисы «Контура» для ведения бизнеса. В рамках повышения уровня защищенности компания запустила публичную программу багбаунти. Специалисты смогут протестировать всю продуктовую линейку бизнеса — от решения для интернет-отчетности и онлайн-бухгалтерии до сервисов ЭДО и платформ для коммуникаций и видеоконференций.

Наиболее приоритетными для компании будут уязвимости, связанные с аутентификацией, сценарии возможности компрометации учетных записей пользователей, server-side-уязвимости, а также уязвимости класса Broken Access Control, которые могут привести к массовой компрометации пользовательских данных. Максимальное вознаграждение для исследователей составит 1 млн руб.

«Мы переводим bug bounty в публичный формат, потому что хотим шире и глубже проверять критичные элементы периметра. В приоритете все ключевые домены и приложения «Контура» с особым вниманием к аутентификации и целостности пользовательских данных. За приватный период исследователи помогли выявить десятки уязвимостей, включая критические. Мы наладили триаж — прием, анализ и приоритизацию отчетов, усилили систему обратной связи и выплаты; каждый отчет сопровождается доказательной базой, а оценка учитывает не только влияние на бизнес, но и оригинальность вектора атаки. Площадка Standoff Bug Bounty и партнерство с Positive Technologies дают нам развитую инфраструктуру взаимодействия с сообществом, что делает процесс прозрачным, ускоряет фиксацию и закрытие проблем и в конечном счете повышает надежность сервисов «Контура» для миллионов наших клиентов», — отметил Михаил Добровольский, заместитель генерального директора «СКБ Контур», руководитель департамента корпоративного управления.

По данным Positive Technologies, злоумышленники эксплуатировали уязвимости в каждой четвертой успешной атаке (28%) на организации в России (причем использовали и трендовые, и довольно старые образцы). Понимание всех этапов развития атаки — от получения первоначального доступа до выполнения сложных сценариев перемещения внутри сети и использования разных способов выгрузки данных — имеет ключевое значение для принятия обоснованных инвестиционных решений в сфере безопасности. Чтобы комплексно оценить защищенность, необходимо учитывать как актуальные техники злоумышленников, так и слабые места в корпоративной инфраструктуре. Одним из инструментов, позволяющих повысить устойчивость компаний к киберугрозам, является участие в программах багбаунти.

Короткая ссылка