Rambler запускает bug bounty на платформе The Standoff 365

Медиахолдинг Rambler&Co “хантит” белых хакеров через платформу The Standoff 365 от Positive Technologies. Охотиться на баги нужно на порталах новостей и в почтовых сервисах. За критическую уязвимость обещают 100 тыс. рублей.

Публичная программа по поиску уязвимостей на Rambler стартует сегодня. Медиахолдинг запускает bug bounty на платформе The Standoff 365.

Исследователям предлагают протестировать 10 популярных ресурсов. Речь о сайтах изданий Лента.ру, Газета.Ru, Чемпионат, самом портале Рамблер, Рамблер/новости и Рамблер/почта. Полный список опубликован здесь.

“У Rambler&Co уже есть опыт использования подобной программы в закрытом режиме, когда приглашают участвовать ограниченное число исследователей, — сообщает пресс-служба. — В этот раз медиахолдинг открывает bug bounty для всех желающих, заявленные суммы вознаграждений варьируются от 2000 до 100 000 рублей, в зависимости от уровня критичности уязвимостей”.

Уязвимости типа RCE, SQL, SSRF вне критической инфраструктуры будут оцениваться ниже, говорится в описании самой программы. Из критической инфраструктуры должен быть доступен хост load.rambler-co.ru(10.99.2.96).

“Наши исследования демонстрируют растущий интерес киберпреступников к организациям медиаотрасли, — комментирует новость Ярослав Бабин, CPO The Standoff 365. — Громкие атаки на СМИ в последнее время сигнализируют о том, что отрасли пора пересмотреть свое отношение к кибербезопасности. Ответственные компании, такие как Rambler&Co, осознают растущие риски и важность программ bug bounty. А наша платформа помогает им вовремя обнаруживать и устранять критически опасные бреши в сервисах — тем самым защищая пользователей”.

Rambler&Co станет шестым публичным клиентом в программах bug bounty от Positive Technologies. За четыре месяца существования на платформе зарегистрировалось 2 тыс. белых хакеров. Свои конкурсы уже разместили VK, “Азбука вкуса”, Skillbox и GeekBrains и сами Positive Technologies.

Добавим, на этой неделе Яндекс в десять раз повысил вознаграждения баг-хантерам на собственной странице “Охота за ошибками”. За найденную до 20 октября “особо ценную” уязвимость могут заплатить 7,5 млн рублей.