Ozon запустил собственную программу по поиску уязвимостей на площадке HackerOne.
Чтобы запустить программу bug bounty, Ozon планирует инвестировать 3 млн рублей в работу с исследователями, занимающимися поиском уязвимостей.
Подобную практику вознаграждения уже ввели Яндекс, Mail.ru и Qiwi. Ozon стал следующим крупным проектом, так как у компании появились ресурсы не только на развитие собственных служб безопасности, но и на взаимодействие с этичными хакерами.
Ozon предлагает денежное вознаграждение, сумма которого зависит от степени тяжести найденного бага. За XSS-дыру компания может заплатить около 17 тыс. рублей, а RCE-уязвимость, приводящая к удалённому выполнению кода, возможно, принесёт исследователю до 120 тыс. рублей.
Источник BIS Job