05/11/25
Контур запустил публичную программу для поиска уязвимостей на площадке Standoff Bug Bounty. Более 30 тысяч исследователей безопасности смогут протестировать всю продуктовую линейку бизнеса. Максимальное вознаграждение за реализацию особо опасных сценариев составит до 1 млн рублей.
Контур — один из крупнейших российских разработчиков программного обеспечения. Более 3 млн клиентов используют сервисы Контура для ведения бизнеса. В рамках повышения уровня защищенности компания запустила публичную программу багбаунти. Специалисты смогут протестировать всю продуктовую линейку бизнеса — от решения для интернет-отчетности и онлайн-бухгалтерии до сервисов ЭДО и платформ для коммуникаций и видеоконференций.
Наиболее приоритетными для компании будут уязвимости, связанные с аутентификацией, сценарии возможности компрометации учетных записей пользователей, server-side-уязвимости, а также уязвимости класса Broken Access Control, которые могут привести к массовой компрометации пользовательских данных. Максимальное вознаграждение для исследователей составит 1 млн рублей.
«Мы переводим bug bounty в публичный формат, потому что хотим шире и глубже проверять критичные элементы периметра. В приоритете все ключевые домены и приложения Контура с особым вниманием к аутентификации и целостности пользовательских данных. За приватный период исследователи помогли выявить десятки уязвимостей, включая критические. Мы наладили триаж — прием, анализ и приоритизацию отчетов, усилили систему обратной связи и выплаты; каждый отчет сопровождается доказательной базой, а оценка учитывает не только влияние на бизнес, но и оригинальность вектора атаки. Площадка Standoff Bug Bounty и партнерство с Positive Technologies дают нам развитую инфраструктуру взаимодействия с сообществом, что делает процесс прозрачным, ускоряет фиксацию и закрытие проблем и в конечном счете повышает надежность сервисов Контура для миллионов наших клиентов», — отметил Михаил Добровольский, заместитель генерального директора СКБ Контур, руководитель департамента корпоративного управления.
По данным Positive Technologies, злоумышленники эксплуатировали уязвимости в каждой четвертой успешной атаке (28%) на организации в России (причем использовали и трендовые, и довольно старые образцы). Понимание всех этапов развития атаки — от получения первоначального доступа до выполнения сложных сценариев перемещения внутри сети и использования разных способов выгрузки данных — имеет ключевое значение для принятия обоснованных инвестиционных решений в сфере безопасности. Чтобы комплексно оценить защищенность, необходимо учитывать как актуальные техники злоумышленников, так и слабые места в корпоративной инфраструктуре. Одним из инструментов, позволяющих повысить устойчивость компаний к киберугрозам, является участие в программах багбаунти.
Standoff Bug Bounty — крупнейшая российская площадка для поиска уязвимостей в системах компаний. С момента запуска в мае 2022 года она привлекла свыше 30 тысяч исследователей кибербезопасности. За последние полтора года число белых хакеров на ней увеличилось более чем в три раза, а общее количество сданных отчетов — более чем в пять раз. Всего на платформе было опубликовано свыше 300 программ по поиску уязвимостей, а общий объем вознаграждений превысил 310 млн рублей.
