Компания «Контур» запустила публичную программу по поиску уязвимостей на площадке Standoff Bug Bounty. Более 30 тысяч ИБ-исследователей сможет протестировать всю продуктовую линейку бизнеса — от решения для интернет-отчётности и онлайн-бухгалтерии до сервисов ЭДО и платформ для коммуникаций и видеоконференций. Максимальное вознаграждение за реализацию особо опасных сценариев составит до 1 млн рублей.
«Контур» — один из крупнейших российских разработчиков ПО. Более 3 млн клиентов использует его сервисы для ведения бизнеса. В рамках повышения уровня защищённости компания и анонсировала публичную программу багбаунти. Наиболее приоритетными для вендора являются уязвимости, связанные с аутентификацией, сценарии возможности компрометации учётных записей пользователей, server-side-уязвимости, а также уязвимости класса Broken Access Control, которые могут привести к массовой утечке пользовательских данных.
«Мы переводим bug bounty в публичный формат, потому что хотим шире и глубже проверять критичные элементы периметра. В приоритете все ключевые домены и приложения "Контура" с особым вниманием к аутентификации и целостности пользовательских данных. За приватный период исследователи помогли выявить десятки уязвимостей, включая критические. Мы наладили триаж — приём, анализ и приоритизацию отчётов, усилили систему обратной связи и выплаты; каждый отчёт сопровождается доказательной базой, а оценка учитывает не только влияние на бизнес, но и оригинальность вектора атаки. Площадка Standoff Bug Bounty и партнёрство с Positive Technologies дают нам развитую инфраструктуру взаимодействия с сообществом, что делает процесс прозрачным, ускоряет фиксацию и закрытие проблем и в конечном счёте повышает надёжность сервисов "Контура" для миллионов наших клиентов», — отметил Михаил Добровольский, замгендиректора «СКБ Контур», руководитель департамента корпоративного управления.
По данным Positive Technologies, злоумышленники эксплуатировали уязвимости в каждой четвёртой успешной атаке (28%) на организации в России (причём использовали и трендовые, и довольно старые образцы). Понимание всех этапов развития атаки — от получения первоначального доступа до выполнения сложных сценариев перемещения внутри сети и использования разных способов выгрузки данных — имеет ключевое значение для принятия обоснованных инвестиционных решений в сфере ИБ. Чтобы комплексно оценить защищённость, необходимо учитывать как актуальные техники хакеров, так и слабые места в корпоративной инфраструктуре. Одним из инструментов, позволяющих повысить устойчивость компаний к киберугрозам, является участие в программах багбаунти.
