Магнит запустил открытую баг-баунти: премии за критические баги до 250 тыс.

Сеть «Магнит» переводит свою программу по поиску уязвимостей в публичный режим. Компания запустила её на платформе Standoff Bug Bounty ещё в феврале 2024 года — тогда тестирование проходило в закрытом формате. Теперь к проверке безопасности подключают всё сообщество баг-хантеров: это около 30 тысяч исследователей, зарегистрированных на площадке.

За особо опасные уязвимости «Магнит» готов платить до 250 тысяч рублей.

Повышенное внимание к безопасности в ретейле неудивительно. По данным Positive Technologies, за первое полугодие более половины успешных атак на компании приводили к утечкам конфиденциальных данных.

Розничная торговля входит в топ-5 наиболее атакуемых отраслей — преступников привлекают огромные массивы клиентской информации и сложная инфраструктура.

Программа Bug Bounty позволяет находить уязвимости раньше злоумышленников — особенно в условиях, когда атаки всё чаще маскируются под легитимные операции и используют стандартные инструменты.

Олег Лалаев, руководитель управления по безопасности данных и инфраструктуры «Магнита», отмечает, что публичный формат помогает выйти за рамки внутреннего взгляда и привлечь глобальное сообщество специалистов для поиска сложных логических ошибок и цепочек атак.

Теперь под исследование попадают мобильное приложение сети (iOS и Android), сайт доставки, портал лояльности и другие клиентские и сервисные ресурсы. Вместе с открытием программы компания увеличила и выплаты: до 120 тысяч рублей за баги высокого риска и до 250 тысяч рублей за критические уязвимости.

По словам Азиза Алимова, руководителя Standoff Bug Bounty, публичные программы особенно важны для ретейла: распределённая архитектура, множество интеграций и постоянный обмен данными делают отрасль заметной целью для атак.

На площадке уже выплачено более 37 миллионов рублей в рамках открытых программ ретейлеров, и такой формат помогает бизнесу устранять реальные технические проблемы до того, как ими воспользуются злоумышленники.