Сбербанк запустил публичные программы багбаунти для трех своих продуктов
Москва. 22 августа. INTERFAX.RU - Сбербанк запустил на платформе Bi.Zone Bug Bounty публичные (доступны для всех желающих) программы багбаунти (bug bounty – выплата вознаграждения за обнаружение уязвимостей) для трех онлайн-продуктов – официальный сайт Сбербанка, приложения "СберБанк Онлайн" и "СберИнвестиции". Об этом заявил начальник управления экспертизы кибербезопасности Сбербанка Сергей Крайнов в ходе конференции OffZone, организованной компанией Bi.Zone (дочерняя структура Сбербанка).
"Запуску публичных программ по этим продуктам предшествовали приватные (в них может принимать участие ограниченное число исследователей - баг-хантеров, "белых хакеров") программы багбаунти", - сказал Крайнов.
При этом он отметил, что по сути речь идет о четырех продуктах. Дело в том, что при поиске уязвимостей в "СберБанк Онлайн" баг-хантерам будет доступен для изучения и сервис для входа на сайты и в приложения экосистемы продуктов банка – "Сбер ID".
Из материалов Bi.Zone следует, что за уязвимости в "СберБанк Онлайн" и "СберИнвестиции" баг-хантеры могут получить до 500 тыс. рублей за найденную уязвимость (итоговая сумма вознаграждения зависит от уровня критичности уязвимости). На уязвимостях на официальном сайте Сбербанка исследователи могут заработать до 200 тыс. рублей.
По словам Крайнова, за время проведения приватных программ багбаунти баг-хантеры смогли выявить в названных продуктах только около 30 уязвимостей. Причем – ни одной критической.
В настоящее время в РФ действуют три платформы для проведения программ багбаунти – BugBounty.ru, Standoff 365 Bug Bounty от Positive Technologies и Bi.Zone Bug Bounty. К настоящему времени на этих площадках 29 компаний проводят 74 публичные программы багбаунти.