Сеть «Магнит» переводит свою программу по поиску уязвимостей в публичный режим. Компания запустила её на платформе Standoff Bug Bounty ещё в феврале 2024 года — тогда тестирование проходило в закрытом формате. Теперь к проверке безопасности подключают всё сообщество баг-хантеров: это около 30 тысяч исследователей, зарегистрированных на площадке.
За особо опасные уязвимости «Магнит» готов платить до 250 тысяч рублей.
Повышенное внимание к безопасности в ретейле неудивительно. По данным Positive Technologies, за первое полугодие более половины успешных атак на компании приводили к утечкам конфиденциальных данных.
Розничная торговля входит в топ-5 наиболее атакуемых отраслей — преступников привлекают огромные массивы клиентской информации и сложная инфраструктура.
Программа Bug Bounty позволяет находить уязвимости раньше злоумышленников — особенно в условиях, когда атаки всё чаще маскируются под легитимные операции и используют стандартные инструменты.
Олег Лалаев, руководитель управления по безопасности данных и инфраструктуры «Магнита», отмечает, что публичный формат помогает выйти за рамки внутреннего взгляда и привлечь глобальное сообщество специалистов для поиска сложных логических ошибок и цепочек атак.
Теперь под исследование попадают мобильное приложение сети (iOS и Android), сайт доставки, портал лояльности и другие клиентские и сервисные ресурсы. Вместе с открытием программы компания увеличила и выплаты: до 120 тысяч рублей за баги высокого риска и до 250 тысяч рублей за критические уязвимости.
По словам Азиза Алимова, руководителя Standoff Bug Bounty, публичные программы особенно важны для ретейла: распределённая архитектура, множество интеграций и постоянный обмен данными делают отрасль заметной целью для атак.
На площадке уже выплачено более 37 миллионов рублей в рамках открытых программ ретейлеров, и такой формат помогает бизнесу устранять реальные технические проблемы до того, как ими воспользуются злоумышленники.
