Одна из ведущих розничных сетей в России «Магнит» объявила о переводе своей программы для поиска уязвимостей, запущенной на площадке Standoff Bug Bounty, в публичный режим. После успешного закрытого этапа, стартовавшего в феврале 2024 года, к тестированию привлекается около 30 тысяч исследователей безопасности. За реализацию особо опасных сценариев компания готова выплатить этичным хакерам до 250 тысяч рублей.
Кибератаки остаются серьезной угрозой для бизнеса: согласно исследованию Positive Technologies за I–II кварталы, более половины успешных атак на организации приводят к утечкам конфиденциальных сведений. Сфера розничной торговли входит в топ-5 атакуемых отраслей и представляет для злоумышленников особый интерес, поскольку обрабатывает большие объемы данных клиентов.
Программы багбаунти позволяют выявлять уязвимости до их эксплуатации киберпреступниками. Это особенно важно в условиях, когда атакующие стремятся использовать легитимные инструменты для маскировки вредоносной активности.
«Для нас безопасность — это не просто соответствие стандартам, а постоянное усложнение жизни для злоумышленника. Мы выстроили многоуровневую защиту, но понимаем, что внутренний взгляд «зашорен». Публичная программа Bug Bounty — это наш способ привлечь глобальное сообщество белых хакеров для поиска сложных цепочек уязвимостей и логических ошибок, которые ускользают от автоматизированного сканирования. Каждый отчет от исследователя — это возможность устранить реальную угрозу до того, как ей воспользуются», — прокомментировал Лалаев Олег Владимирович, руководитель управления по безопасности данных и инфраструктуры, «Магнит».
Запуск публичной программы позволит «Магниту» проверить защищенность своих сервисов силами более 30 тысяч багхантеров, зарегистрированных на площадке Standoff Bug Bounty, с разным опытом и инструментарием. В область исследования входят клиентские и сервисные ресурсы розничной сети, в том числе мобильное приложение (для iOS и Android), сайт доставки, портал лояльности, и другие сервисы.
В открытой программе компания также увеличила размер вознаграждений. За обнаружение багов с высоким уровнем риска исследователи могут заработать до 120 тысяч рублей. За выявление особо опасных уязвимостей максимальное вознаграждение составляет 250 тысяч рублей.
«Критически важно защищать ритейл-инфраструктуру. Распределенные системы, сотни интеграций и постоянный обмен данными с внешними сервисами делают ее привлекательной мишенью для атак. Публичные программы багбаунти позволяют привлечь широкий круг исследователей к поиску уязвимостей разного уровня опасности. Так, на нашей площадке в рамках открытых программ ритейл-вендоров выплачено более 37 млн рублей. Подобный формат сотрудничества дает бизнесу возможность устранять реальные технические недостатки до того, как они будут использованы злоумышленниками», — отметил Азиз Алимов, руководитель Standoff Bug Bounty.
Для обеспечения надежной защиты IT-инфраструктуры и эффективного управления инцидентами «Магнит» уже использует ряд решений Positive Technologies, одного из лидеров в области результативной кибербезопасности. В начале года ритейлер внедрил продукт для непрерывного мониторинга и выявления кибератак — MaxPatrol SIEM. Защиту веб-ресурсов в сети на протяжении двух лет обеспечивает межсетевой экран уровня веб-приложений PT Application Firewall. Кроме того, компания использует систему для обнаружения уязвимостей и эффективного управлениями ими — MaxPatrol VM.