«Контур» открыл публичную программу поиска уязвимостей на платформе Standoff Bug Bounty. Свыше 30 тысяч специалистов по кибербезопасности получат возможность проверить все продукты компании. Наибольшая выплата за обнаружение критических угроз может достигать 1 миллиона рублей. Такие данные были предоставлены CNews экспертами Positive Technologies.
«Контур» представляет собой российскую компанию-разработчика программных решений. Более 3 миллионов клиентов применяют сервисы «Контура» для бизнес-процессов. В рамках усиления защищенности организация инициировала публичную программу вознаграждений за обнаружение ошибок. Профессионалы смогут проанализировать полный спектр продуктов — от систем электронной отчетности и онлайн-бухгалтерии до услуг электронного документооборота, а также решений для коммуникаций и видеоконференций.
Наиболее значимыми для компании считаются уязвимости в системах аутентификации, сценарии компрометации пользовательских аккаунтов, серверные уязвимости, а также недостатки контроля доступа, способные привести к массовому нарушению конфиденциальности данных. Максимальный размер вознаграждения для специалистов установлен на уровне 1 млн рублей.
«Мы переходим к публичной модели bug bounty, поскольку стремимся к более масштабной и глубокой проверке критически важных элементов инфраструктуры. В фокусе внимания — все ключевые домены и приложения «Контура» с особым акцентом на аутентификацию и сохранность пользовательской информации. За время приватного этапа исследователи помогли обнаружить десятки уязвимостей, включая критические. Мы выстроили систему обработки — прием, анализ и ранжирование отчетов, усовершенствовали механизм обратной связи и выплат; каждый отчет содержит доказательную базу, а оценка учитывает не только бизнес-последствия, но и оригинальность атаки. Платформа Standoff Bug Bounty и сотрудничество с Positive Technologies обеспечивают нам развитую инфраструктуру для работы с сообществом, что делает процедуру прозрачной, ускоряет устранение проблем и в итоге повышает надежность сервисов «Контура» для миллионов наших пользователей», — подчеркнул Михаил Добровольский, заместитель генерального директора «СКБ Контур», руководитель департамента корпоративного управления.
Согласно информации Positive Technologies, в каждой четвертой успешной атаке (28%) на российские организации злоумышленники использовали уязвимости (применяя как актуальные, так и давно известные методы). Понимание полного цикла развития атаки — от получения первоначального доступа до реализации сложных сценариев перемещения в сети и различных способов извлечения данных — играет crucialную роль при принятии взвешенных инвестиционных решений в области безопасности. Для комплексной оценки защищенности необходимо учитывать как современные методы злоумышленников, так и слабые места корпоративной инфраструктуры. Участие в программах bug bounty является одним из инструментов повышения устойчивости компаний к киберугрозам.
