«Авито» увеличил максимальную награду за найденные в своих продуктах критические уязвимости. Исследователи безопасности смогут получить за них до 500 тысяч рублей в рамках программы выплат на платформе BI.ZONE Bug Bounty.
В компании подчеркнули, что это позволит привлечь больше внешних специалистов, чтобы сделать сервисы «Авито» более безопасными для пользователей, особенно учитывая общий рост спроса на такие программы на рынке. Так, в 2025 году «Авито» планирует увеличить затраты на кибербезопасность на 50 процентов по сравнению с 2024 годом.
Отмечается также, что «Авито» стал одним из первых игроков российского рынка онлайн-коммерции, кто запустил собственную инициативу для багхантеров. Инициатива Bug Bounty позволяет компании поддерживать систему постоянного мониторинга рисков безопасности. С ее помощью команде удается оперативно закрывать уязвимости и минимизировать потенциальные потери. Размер вознаграждения за найденную уязвимость определяется десятками критериев, включая влияние бага на бизнес платформы, сложность его исправления, широту аудитории, которую он может охватить, и другими.
Участники программы могут проверить безопасность всех мобильных и веб-приложений компании, а также любых доступных сервисов, размещенных на поддоменах avito.ru. Задача исследователей — находить ошибки в коде, которые влияют на безопасность сервисов «Авито». Например, слабые места, которые позволяют получить доступ к данным пользователей, платежной информации, важным файлам или повлиять на стабильную работу сайта.
BI.ZONE отмечает рост интереса бизнеса к программам поиска уязвимостей: средняя выплата на платформе выросла за год на 14 процентов до 44 тысяч рублей, а количество программ от компаний достигло 98, увеличившись почти вдвое по сравнению с 2023 годом. На этом фоне Авито стремится предоставить наиболее привлекательное предложение для исследователей.
«Помимо Bug Bounty, команда кибербезопасности "Авито" развивает систему защиты, которая внедряется с начальных стадий разработки. На каждом этапе разработки продукта используются сканеры для проверки кода на наличие уязвимостей, а также проводятся ручные аудиты безопасности — специалисты имитируют потенциальные действия злоумышленников. Технические команды проходят обучение безопасной разработке. Такой комплексный подход позволяет создавать механизмы безопасности и поддерживать высокий уровень защиты сервисов "Авито" от взломов и утечек», — рассказал руководитель по информационной безопасности Авито Андрей Усенок.
Программа Bug Bounty позволяет повысить уровень защищенности ресурсов компании, подчеркнул руководитель продукта BI.ZONE Bug Bounty Андрей Левкин
«При этом развитие программ и увеличение выплат — важный шаг, который позволяет привлечь больше опытных независимых исследователей и повысить уровень защищенности ресурсов. Мы видим растущий интерес крупных компаний к инвестициям в безопасность своих цифровых ресурсов. BI.ZONE Bug Bounty предоставляет бизнесу эффективный механизм выявления и устранения угроз, а багхантерам — вознаграждение за работу», — заключил он.
