Тестирование IT-систем Контур запустил публичную программу для поиска уязвимостей на площадке Standoff Bug Bounty . Более 30 тысяч исследователей безопасности смогут протестировать всю продуктовую линейку бизнеса. Максимальное вознаграждение за реализацию особо опасных сценариев составит до 1 млн рублей. Контур — один из крупнейших российских разработчиков программного обеспечения. Более 3 млн клиентов используют сервисы Контура для ведения бизнеса. В рамках повышения уровня защищенности компания запустила публичную программу багбаунти. Специалисты смогут протестировать всю продуктовую линейку бизнеса — от решения для интернет-отчетности и онлайн-бухгалтерии до сервисов ЭДО и платформ для коммуникаций и видеоконференций. Наиболее приоритетными для компании будут уязвимости, связанные с аутентификацией, сценарии возможности компрометации учетных записей пользователей, server-side-уязвимости, а также уязвимости класса Broken Access Control, которые могут привести к массовой компрометации пользовательских данных. Максимальное вознаграждение для исследователей составит 1 млн рублей. Мы переводим bug bounty в публичный формат, потому что хотим шире и глубже проверять критичные элементы периметра. В приоритете все ключевые домены и приложения Контура с особым вниманием к аутентификации и целостности пользовательских данных. За приватный период исследователи помогли выявить десятки уязвимостей, включая критические. Мы наладили триаж — прием, анализ и приоритизацию отчетов, усилили систему обратной связи и выплаты; каждый отчет сопровождается доказательной базой, а оценка учитывает не только влияние на бизнес, но и оригинальность вектора атаки. Площадка Standoff Bug Bounty и партнерство с Positive Technologies дают нам развитую инфраструктуру взаимодействия с сообществом, что делает процесс прозрачным, ускоряет фиксацию и закрытие проблем и в конечном счете повышает надежность сервисов Контура для миллионов наших клиентов. Михаил Добровольский, заместитель генерального директора СКБ Контур, руководитель департамента корпоративного управления. По данным Positive Technologies, злоумышленники эксплуатировали уязвимости в каждой четвертой успешной атаке (28%) на организации в России (причем использовали и трендовые, и довольно старые образцы). Понимание всех этапов развития атаки — от получения первоначального доступа до выполнения сложных сценариев перемещения внутри сети и использования разных способов выгрузки данных — имеет ключевое значение для принятия обоснованных инвестиционных решений в сфере безопасности. Чтобы комплексно оценить защищенность, необходимо учитывать как актуальные техники злоумышленников, так и слабые места в корпоративной инфраструктуре. Одним из инструментов, позволяющих повысить устойчивость компаний к киберугрозам, является участие в программах багбаунти. Standoff Bug Bounty — крупнейшая российская площадка для поиска уязвимостей в системах компаний. С момента запуска в мае 2022 года она привлекла свыше 30 тысяч исследователей кибербезопасности. За последние полтора года число белых хакеров на ней увеличилось более чем в три раза, а общее количество сданных отчетов — более чем в пять раз. Всего на платформе было опубликовано свыше 300 программ по поиску уязвимостей, а общий объем вознаграждений превысил 310 млн рублей. Теги: Source: https://habr.com/ru/amp/publications/963270/