Контакты
Подписка 2026

Как баг-баунти помогает e-commerce снижать киберриски: опыт "Авито" и BI.ZONE Bug Bounty

Редакция журнала "Информационная безопасность", 27/08/25

"Авито" одним из первых в российском e-commerce запустил баг-баунти-программу. Сначала на зарубежной платформе, а сегодня активно развивает публичную программу на российской площадке BI.ZONE Bug Bounty. Мы поговорили с Екатериной Пухаревой, руководителем продуктовой безопасности "Авито", и Андреем Лёвкиным, руководителем продукта BI.ZONE Bug Bounty.

ris1-Aug-27-2025-10-19-50-1666-AM

Инсайты разных платформ

– Екатерина, «Авито» одним из первых в сфере российской онлайн-коммерции запустил баг-баунти-программу. Расскажите, как это было?

Екатерина Пухарева: В 2018 г. мы запустили приватную программу на одной из самых популярных на тот момент платформ, тестировали формат и отрабатывали внутренние процессы. В то же время продумывали процессы на обработку и фикс найденных уязвимостей, прежде всего определение SLA, постепенное расширение скоупа. Чуть позже запустили публичную программу, налаживали взаимодействие с платформой и исследователями. В 2022 г. мы переехали на платформу BI.ZONE Bug Bounty сразу с публичной программой, где предложили багхантерам выплаты до 350 тыс. руб. А в 2025-м – увеличили вознаграждение до полумиллиона рублей. Кроме того, мы принимаем специальные дополнительные меры для стимулирования активности исследователей безопасности. Мы запускали специальную акцию – на месяц увеличивали все выплаты по нашей программе в 2 раза – в этот период исследователи могли заработать до 1 млн руб. за найденную уязвимость. Это позволило дополнительно мотивировать экспертов к поиску уязвимостей и усилить защиту наших систем.

Скоуп остался прежним: веб-версия и мобильное приложение "Авито", а также любые доступные приложения и сервисы на *.avito.ru. Программа охватывает все веб- и мобильные приложения компании, а размер вознаграждения определяется влиянием на бизнес и сложностью исправления, что мотивирует поиск наиболее критичных проблем.

– Чем различаются разные баг-баунти-платформы, на которых вы успели запуститься?

Екатерина Пухарева: На первой платформе сидели, в основном, зарубежные багхантеры и преобладали технические уязвимости. Когда мы переехали на BI.ZONE Bug Bounty, значительная доля отчетов стала касаться уязвимостей, связанных с бизнес-логикой. Это объясняется тем, что многие багхантеры на российской платформе – одновременно и активные пользователи "Авито". Благодаря личному опыту взаимодействия с сайтом и нашими сервисами, они лучше понимают, как должна работать наша бизнес-логика, где могут быть слабые места в пользовательских сценариях.

– Андрей, как ваша платформа помогает "Авито"?

Андрей Лёвкин: "Авито" – первый клиент, который подключил наш триаж. Чтобы снизить нагрузку на команду "Авито", мы проводим первичный анализ уязвимости: дедупликацию, проверку концепции (Proof of Concept, POC). Еще мы предлагаем рекомендации по устранению багов и выясняем детали у исследователей, например, почему они считают найденное уязвимостью.

Электронная коммерция – в тройке лидеров по активности на баг-баунти

– Андрей, какие тренды, особенности, связанные с баг-баунти, ты видишь в сфере e-commerce?

Андрей Лёвкин: По статистике HackerOne, за 2023–2024 гг. отрасль e-commerce на баг-баунти вошла в топ-3 по темпам увеличения вендоров и программ, уступив только финтеху и блокчейн-проектам. Почему такие лидеры? У финтеха много разных обязательств, в том числе регуляторных: в России, например, со стороны Минфина и ЦБ РФ. А блокчейн – это новый, технологически иной мир, который сейчас интересно изучать.

Есть несколько взаимосвязанных причин, почему электронная коммерция входит в число лидеров по росту на баг-баунти. В этой сфере маленький Time-to-Market, пишется очень много кода. И как бы круто не был настроен процесс безопасной разработки, когда кода много, тестировать его тяжело. Появляется большое пространство для атаки из-за множества API-endpoint. В итоге e-commerce рассматривает баг-баунти и работу комьюнити как один из основных источников информации об уязвимостях. То же самое мы видим и на российском рынке.

Екатерина Пухарева: Я бы добавила, что в нашей сфере часто бывают периоды, когда мы выпускаем несколько релизов продуктов в день. Поэтому мы стремимся интегрировать баг-баунти-программу в общую систему безопасности, которая, конечно, включает в себя сканеры кода, ручные аудиты и обучение команд разработки. Поверхность атаки увеличивается, и она закрывается в несколько эшелонов: и баг-баунти-программой, и автоматическими сканерами.

Есть еще одна причина, почему электронная коммерция использует баг-баунти. Если у финансовых организаций высокие регуляторные требования, то у нас – репутационные. Более 72 млн уникальных пользователей посещает "Авито" ежемесячно (по данным "Авито" на 2025 г.), мы сталкиваемся с повышенным вниманием со стороны пользователей и СМИ – любой сбой и любая проблема моментально становятся публичными и могут серьезно повлиять на доверие к платформе. Кроме того, сюда добавляются и финансовые риски – благодаря нашим масштабам, даже небольшие логические уязвимости в промо механиках потенциально могут привести к ущербу на миллионы рублей.

Оценка эффективности баг-баунти

– Какие метрики вы используете, чтобы оценить успешность или неуспешность баг-баунти?

Екатерина Пухарева: Мы оцениваем эффективность программы не только по количеству найденных уязвимостей, но и по их качеству: насколько они критичны, как быстро мы на них реагируем и устраняем, и какие улучшения за этим следуют. Из основных метрик я отмечу: количество валидных репортов, долю уязвимостей critical- и high-уровней, среднее время реагирования на отчет и его закрытия, вовлеченность исследователей (как часто они возвращаются и насколько глубоко исследует систему). И, конечно, репутационные эффекты: воспринимают ли нас как открытую и зрелую компанию в области кибербезопасности.

Андрей Лёвкин: Для вендора основные метрики – это количество найденных уязвимостей, их критичность, скорость отработки багов. Иногда используется метрика, сколько аналогичных уязвимостей обнаружено в похожих продуктах и проектах других компаний.

Мы как платформа обращаем внимание вендоров на то, сколько отчетов не укладывается в SLA, описанное в программе. Мы рекомендуем обрабатывать и оценивать каждый отчет в пределах 7 дней. Если не удалось сделать это за неделю, нужно оставить комментарий, что отчет в работе, потребуется больше времени. Ведь своевременные выплаты мотивируют исследователей продолжать работать с вендором. Если багхантер сдал отчет сегодня, а деньги получил через 2–3 месяца, маловероятно, что он вспомнит об этой программе и захочет к ней вернуться.

Еще одна метрика, которую мы отслеживаем, – это мнение комьюнити о вендорах. Мы постоянно общаемся с исследователями и получаем отзывы непосредственно от них. Для нас важно, чтобы каждая программа находила своих исследователей.

Багов нет – успех или сигнал тревоги

– С какими сложностями вы столкнулись за время работы?

Екатерина Пухарева: Думаю, что мы не будем отличаться от других компаний с публичными баг-баунти-программами. Первая сложность – это неравномерность активности. Есть периоды затишья, когда новых репортов мало. Сложно понять, с чем это связано: стало меньше уязвимостей или снизился интерес к программе, например, потому что выплаты стали маленькими.

Вторая проблема – иногда сложно объяснить исследователю, почему найденный им баг не считается критичным или дублируется. Человек потратил на поиск время, поэтому важно дать развернутую обратную связь.

Третье – разная нагрузка на команду безопасности. Если репортов много, особенно после повышения выплат, нужно успевать обрабатывать отчеты в рамках SLA. В крупной компании с большим количеством продуктов, как у нас, много времени может занять на определение владельцев конкретного компонента. Это связано с естественной эволюцией команд и перераспределением зон ответственности в процессе развития организации.

Ну и последняя сложность – это рыночные вызовы. Мы должны поддерживать постоянно высокий уровень выплат, чтобы сохранять интерес исследователей. Поэтому отслеживаем размер средних вознаграждений похожих на нас игроков для корректировки своих бюджетов.

Андрей Лёвкин: Поделюсь интересным наблюдением про неравномерность отчетов. На их количество сильно влияет сезон и погода. В хороший летний день исследователи сдают намного меньше отчетов, чем в угрюмый зимний. Но даже зимой во время новогодних каникул большинство багхантеров предпочитают отдыхать, а не искать уязвимости. Если в каком-то конкретном городе будет плохая погода, то отчетов придет больше, чем из соседнего, где светит солнце, даже если средняя активность комьюнити в обоих городах одинаковая.

Способ повысить количество отчетов в 2,5 раза

– Екатерина, как в целом вы выстраиваете работу с исследователями, привлекаете дополнительное внимание к программам?

Екатерина Пухарева: Повторное участие исследователя – это одна из наших ключевых метрик. Если он возвращается, значит, мы создали комфортные условия. Еще мы отслеживаем, сколько времени потребовалось до реакции на репорт и до выплаты, то есть стараемся не затягивать с ответами. Как уже говорил Андрей, исследователям важно видеть, что их труд ценится. В феврале 2025 г. мы повысили выплаты в 1,5–2 раза по всем типам уязвимостей, чтобы оставаться конкурентоспособными и привлекательными для исследователей. Это дало заметный рост активности: за первое полугодие количество отчетов выросло на 150% по сравнению с аналогичным периодом прошлого года – с 41 до 102 (по данным Авито на 2025 г.).

– Андрей, расскажите, как площадка помогает привлекать внимание?

Андрей Лёвкин: Мы проводим промоакции с вендорами. Например, наше мероприятие BUGS ZONE, на которое мы приглашаем топовых исследователей и зовем вендоров, чтобы они представили уникальный, недоступный в рамках обычной программы, скоуп. Это может быть не до конца протестированный ресурс, который пока страшно выводить в публичную программу. Исследователям BUGS ZONE дает возможность прокачать навыки и посоревноваться в скорости с другими багхантерами.

У нас есть телеграм-чат, где мы регулярно общаемся с исследователями лично, помогаем решать проблемы. Активных участников комьюнити приглашаем на нашу конференцию по кибербезопасности OFFZONE. Это одна из немногих конференций, которая выходит за рамки канона и объединяет вокруг себя комьюнити экспертов и хардкорный технический контент.

– В 2025 г. "Авито" планирует увеличить затраты на кибербезопасность на 50% по сравнению с предыдущим годом. Какую роль здесь будет играть баг-баунти?

Екатерина Пухарева: Программа получит увеличенное финансирование, в том числе мы закладываем и временные акции с повышением выплат, также повышение бюджета получат и другие критически важные направления. Для этого есть несколько обоснований. Во-первых, защита репутации: один инцидент может стоить дороже годового бюджета программы. Во-вторых, конкурентное преимущество: пользователи более охотно выбирают компанию, в безопасности которой уверены. В-третьих, адаптация к угрозам: увеличение финансирования связано с эволюцией киберугроз и необходимостью покрыть новые векторы атак. В-четвертых, масштабирование бизнеса: с ростом объемов транзакций и пользовательской базы растут потенциальные риски. Баг-баунти позволяет тестировать защиту от актуальных угроз, так что инвестиции в баг-баунти масштабируются пропорционально бизнес-рискам.

Темы:BI.ZoneАвитоБагБаунти
Практика защиты персональных данных в 2027 году: требования и инструменты. 14 октября на Форуме ITSEC 2026
Полное расписание мероприятий Форума ITSEC 2026 →

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Статьи по той же темеСтатьи по той же теме

  • Багбаунти проверяет не только ваше приложение, но и вас
    Андрей Лёвкин, руководитель продукта BI.ZONE Bug Bounty
    Рынок багбаунти растет не потому, что компании вдруг стали более открытыми к исследовательскому сообществу. Причина гораздо прозаичнее: современная разработка движется быстрее, чем успевают адаптироваться процессы безопасности. Когда продукт выпускает десятки релизов в день, а инфраструктура состоит из множества сервисов и API, даже сильной AppSec-команде сложно держать под контролем каждое изменение.
  • Контроль привилегированного доступа: как перейти на российскую ОС и не перегрузить инфраструктуру
    Артем Назаретян, руководитель BI.ZONE PAM
    Переход на российские операционные системы затрагивает не только базовую инфраструктуру, но и смежные контуры безопасности. Наиболее чувствительный среди них – управление привилегированным доступом. В нем пересекаются требования регуляторов, риски кибератак и устойчивость ИТ-среды.
  • DRP на практике: как BI.ZONE защищает бизнес вне периметра
    Григорий Бершацкий, руководитель группы аналитиков BI.ZONE DRP
    За пределами корпоративного периметра формируется множество рисков для бизнеса. Только за 2025 г. специалисты BI.ZONE Digital Risk Protection обнаружили 179 тыс. фишинговых ссылок – и это лишь часть ландшафта угроз. Злоумышленники все чаще распространяют вредоносные мобильные приложения, наращивают объем мошеннического контента в мессенджерах и соцсетях, используют персонализированный фишинг. Посмотрим на самые распространенные сценарии, с которыми сталкиваются организации, и о том, как защищаться от угроз вне периметра.
  • Управление киберрисками: как считать угрозы в рублях и строить зрелые процессы
    Тимофей Поляков, руководитель направления BI.ZONE Consulting
    Регулирующие органы требуют от бизнеса перейти к количественным оценкам потерь от киберинцидентов. Теперь недостаточно перечислить возможные угрозы и заявить о наличии технических средств защиты. Компаниям необходимо рассчитывать конкретную сумму потенциального ущерба, выраженную в рублях. Это могут быть прямые финансовые потери, затраты на восстановление или репутационные издержки. Невыполнение требований грозит не только штрафами, но и приостановкой деятельности. Как же обосновать для бизнеса затраты на кибербезопасность?
  • Когда платформа становится безопаснее, чем безопасник
    Александр Трифанов, руководитель направления Application Security, "Авито"
    В крупных компаниях стало слишком много инженерии. Команды растут, микросервисы множатся, инфраструктура усложняется, а вместе с ней – и стоимость ее поддержки. Поэтому идея внутренних платформ выглядит естественным ответом на хаос. То, что раньше требовало согласований и ручных настроек, теперь превращается в сервис – Platform as a Service, Publication as a Service, Admin as a Service.
  • Три ловушки, которые вам готовит ваш SOC
    Марсель Айсин, руководитель BI.ZONE SOC Consulting
    Завершаем серию публикаций о ключевых аспектах деятельности SOC. Описанные в предыдущих материалах направления формируют замкнутый цикл, превращая SOC из операционного центра в ключевой элемент киберустойчивости организации и ее стратегический актив. В финальной статье расскажем, какие типичные ловушки подстерегают компании, развивающие собственный SOC, почему они возникают и что сделать, чтобы в них не попасть.э

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2026
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
13-14 октября приглашаем экспертов и практиков выступить на Форуме ITSEC 2026!
Отправить заявку на участие →

More...
ТБ Форум 2026
13 октября. Защищенный удаленный доступ на Форуме ITSEC 2026
Регистрация открыта →

More...