Редакция журнала "Информационная безопасность", 27/08/25
"Авито" одним из первых в российском e-commerce запустил баг-баунти-программу. Сначала на зарубежной платформе, а сегодня активно развивает публичную программу на российской площадке BI.ZONE Bug Bounty. Мы поговорили с Екатериной Пухаревой, руководителем продуктовой безопасности "Авито", и Андреем Лёвкиным, руководителем продукта BI.ZONE Bug Bounty.
Инсайты разных платформ
– Екатерина, «Авито» одним из первых в сфере российской онлайн-коммерции запустил баг-баунти-программу. Расскажите, как это было?
Екатерина Пухарева: В 2018 г. мы запустили приватную программу на одной из самых популярных на тот момент платформ, тестировали формат и отрабатывали внутренние процессы. В то же время продумывали процессы на обработку и фикс найденных уязвимостей, прежде всего определение SLA, постепенное расширение скоупа. Чуть позже запустили публичную программу, налаживали взаимодействие с платформой и исследователями. В 2022 г. мы переехали на платформу BI.ZONE Bug Bounty сразу с публичной программой, где предложили багхантерам выплаты до 350 тыс. руб. А в 2025-м – увеличили вознаграждение до полумиллиона рублей. Кроме того, мы принимаем специальные дополнительные меры для стимулирования активности исследователей безопасности. Мы запускали специальную акцию – на месяц увеличивали все выплаты по нашей программе в 2 раза – в этот период исследователи могли заработать до 1 млн руб. за найденную уязвимость. Это позволило дополнительно мотивировать экспертов к поиску уязвимостей и усилить защиту наших систем.
Скоуп остался прежним: веб-версия и мобильное приложение "Авито", а также любые доступные приложения и сервисы на *.avito.ru. Программа охватывает все веб- и мобильные приложения компании, а размер вознаграждения определяется влиянием на бизнес и сложностью исправления, что мотивирует поиск наиболее критичных проблем.
– Чем различаются разные баг-баунти-платформы, на которых вы успели запуститься?
Екатерина Пухарева: На первой платформе сидели, в основном, зарубежные багхантеры и преобладали технические уязвимости. Когда мы переехали на BI.ZONE Bug Bounty, значительная доля отчетов стала касаться уязвимостей, связанных с бизнес-логикой. Это объясняется тем, что многие багхантеры на российской платформе – одновременно и активные пользователи "Авито". Благодаря личному опыту взаимодействия с сайтом и нашими сервисами, они лучше понимают, как должна работать наша бизнес-логика, где могут быть слабые места в пользовательских сценариях.
– Андрей, как ваша платформа помогает "Авито"?
Андрей Лёвкин: "Авито" – первый клиент, который подключил наш триаж. Чтобы снизить нагрузку на команду "Авито", мы проводим первичный анализ уязвимости: дедупликацию, проверку концепции (Proof of Concept, POC). Еще мы предлагаем рекомендации по устранению багов и выясняем детали у исследователей, например, почему они считают найденное уязвимостью.
Электронная коммерция – в тройке лидеров по активности на баг-баунти
– Андрей, какие тренды, особенности, связанные с баг-баунти, ты видишь в сфере e-commerce?
Андрей Лёвкин: По статистике HackerOne, за 2023–2024 гг. отрасль e-commerce на баг-баунти вошла в топ-3 по темпам увеличения вендоров и программ, уступив только финтеху и блокчейн-проектам. Почему такие лидеры? У финтеха много разных обязательств, в том числе регуляторных: в России, например, со стороны Минфина и ЦБ РФ. А блокчейн – это новый, технологически иной мир, который сейчас интересно изучать.
Есть несколько взаимосвязанных причин, почему электронная коммерция входит в число лидеров по росту на баг-баунти. В этой сфере маленький Time-to-Market, пишется очень много кода. И как бы круто не был настроен процесс безопасной разработки, когда кода много, тестировать его тяжело. Появляется большое пространство для атаки из-за множества API-endpoint. В итоге e-commerce рассматривает баг-баунти и работу комьюнити как один из основных источников информации об уязвимостях. То же самое мы видим и на российском рынке.
Екатерина Пухарева: Я бы добавила, что в нашей сфере часто бывают периоды, когда мы выпускаем несколько релизов продуктов в день. Поэтому мы стремимся интегрировать баг-баунти-программу в общую систему безопасности, которая, конечно, включает в себя сканеры кода, ручные аудиты и обучение команд разработки. Поверхность атаки увеличивается, и она закрывается в несколько эшелонов: и баг-баунти-программой, и автоматическими сканерами.
Есть еще одна причина, почему электронная коммерция использует баг-баунти. Если у финансовых организаций высокие регуляторные требования, то у нас – репутационные. Более 72 млн уникальных пользователей посещает "Авито" ежемесячно (по данным "Авито" на 2025 г.), мы сталкиваемся с повышенным вниманием со стороны пользователей и СМИ – любой сбой и любая проблема моментально становятся публичными и могут серьезно повлиять на доверие к платформе. Кроме того, сюда добавляются и финансовые риски – благодаря нашим масштабам, даже небольшие логические уязвимости в промо механиках потенциально могут привести к ущербу на миллионы рублей.
Оценка эффективности баг-баунти
– Какие метрики вы используете, чтобы оценить успешность или неуспешность баг-баунти?
Екатерина Пухарева: Мы оцениваем эффективность программы не только по количеству найденных уязвимостей, но и по их качеству: насколько они критичны, как быстро мы на них реагируем и устраняем, и какие улучшения за этим следуют. Из основных метрик я отмечу: количество валидных репортов, долю уязвимостей critical- и high-уровней, среднее время реагирования на отчет и его закрытия, вовлеченность исследователей (как часто они возвращаются и насколько глубоко исследует систему). И, конечно, репутационные эффекты: воспринимают ли нас как открытую и зрелую компанию в области кибербезопасности.
Андрей Лёвкин: Для вендора основные метрики – это количество найденных уязвимостей, их критичность, скорость отработки багов. Иногда используется метрика, сколько аналогичных уязвимостей обнаружено в похожих продуктах и проектах других компаний.
Мы как платформа обращаем внимание вендоров на то, сколько отчетов не укладывается в SLA, описанное в программе. Мы рекомендуем обрабатывать и оценивать каждый отчет в пределах 7 дней. Если не удалось сделать это за неделю, нужно оставить комментарий, что отчет в работе, потребуется больше времени. Ведь своевременные выплаты мотивируют исследователей продолжать работать с вендором. Если багхантер сдал отчет сегодня, а деньги получил через 2–3 месяца, маловероятно, что он вспомнит об этой программе и захочет к ней вернуться.
Еще одна метрика, которую мы отслеживаем, – это мнение комьюнити о вендорах. Мы постоянно общаемся с исследователями и получаем отзывы непосредственно от них. Для нас важно, чтобы каждая программа находила своих исследователей.
Багов нет – успех или сигнал тревоги
– С какими сложностями вы столкнулись за время работы?
Екатерина Пухарева: Думаю, что мы не будем отличаться от других компаний с публичными баг-баунти-программами. Первая сложность – это неравномерность активности. Есть периоды затишья, когда новых репортов мало. Сложно понять, с чем это связано: стало меньше уязвимостей или снизился интерес к программе, например, потому что выплаты стали маленькими.
Вторая проблема – иногда сложно объяснить исследователю, почему найденный им баг не считается критичным или дублируется. Человек потратил на поиск время, поэтому важно дать развернутую обратную связь.
Третье – разная нагрузка на команду безопасности. Если репортов много, особенно после повышения выплат, нужно успевать обрабатывать отчеты в рамках SLA. В крупной компании с большим количеством продуктов, как у нас, много времени может занять на определение владельцев конкретного компонента. Это связано с естественной эволюцией команд и перераспределением зон ответственности в процессе развития организации.
Ну и последняя сложность – это рыночные вызовы. Мы должны поддерживать постоянно высокий уровень выплат, чтобы сохранять интерес исследователей. Поэтому отслеживаем размер средних вознаграждений похожих на нас игроков для корректировки своих бюджетов.
Андрей Лёвкин: Поделюсь интересным наблюдением про неравномерность отчетов. На их количество сильно влияет сезон и погода. В хороший летний день исследователи сдают намного меньше отчетов, чем в угрюмый зимний. Но даже зимой во время новогодних каникул большинство багхантеров предпочитают отдыхать, а не искать уязвимости. Если в каком-то конкретном городе будет плохая погода, то отчетов придет больше, чем из соседнего, где светит солнце, даже если средняя активность комьюнити в обоих городах одинаковая.
Способ повысить количество отчетов в 2,5 раза
– Екатерина, как в целом вы выстраиваете работу с исследователями, привлекаете дополнительное внимание к программам?
Екатерина Пухарева: Повторное участие исследователя – это одна из наших ключевых метрик. Если он возвращается, значит, мы создали комфортные условия. Еще мы отслеживаем, сколько времени потребовалось до реакции на репорт и до выплаты, то есть стараемся не затягивать с ответами. Как уже говорил Андрей, исследователям важно видеть, что их труд ценится. В феврале 2025 г. мы повысили выплаты в 1,5–2 раза по всем типам уязвимостей, чтобы оставаться конкурентоспособными и привлекательными для исследователей. Это дало заметный рост активности: за первое полугодие количество отчетов выросло на 150% по сравнению с аналогичным периодом прошлого года – с 41 до 102 (по данным Авито на 2025 г.).
– Андрей, расскажите, как площадка помогает привлекать внимание?
Андрей Лёвкин: Мы проводим промоакции с вендорами. Например, наше мероприятие BUGS ZONE, на которое мы приглашаем топовых исследователей и зовем вендоров, чтобы они представили уникальный, недоступный в рамках обычной программы, скоуп. Это может быть не до конца протестированный ресурс, который пока страшно выводить в публичную программу. Исследователям BUGS ZONE дает возможность прокачать навыки и посоревноваться в скорости с другими багхантерами.
У нас есть телеграм-чат, где мы регулярно общаемся с исследователями лично, помогаем решать проблемы. Активных участников комьюнити приглашаем на нашу конференцию по кибербезопасности OFFZONE. Это одна из немногих конференций, которая выходит за рамки канона и объединяет вокруг себя комьюнити экспертов и хардкорный технический контент.
– В 2025 г. "Авито" планирует увеличить затраты на кибербезопасность на 50% по сравнению с предыдущим годом. Какую роль здесь будет играть баг-баунти?
Екатерина Пухарева: Программа получит увеличенное финансирование, в том числе мы закладываем и временные акции с повышением выплат, также повышение бюджета получат и другие критически важные направления. Для этого есть несколько обоснований. Во-первых, защита репутации: один инцидент может стоить дороже годового бюджета программы. Во-вторых, конкурентное преимущество: пользователи более охотно выбирают компанию, в безопасности которой уверены. В-третьих, адаптация к угрозам: увеличение финансирования связано с эволюцией киберугроз и необходимостью покрыть новые векторы атак. В-четвертых, масштабирование бизнеса: с ростом объемов транзакций и пользовательской базы растут потенциальные риски. Баг-баунти позволяет тестировать защиту от актуальных угроз, так что инвестиции в баг-баунти масштабируются пропорционально бизнес-рискам.
