Сбербанк объявил о запуске публичных программ багбаунти для своих онлайн-продуктов.
Начальник управления экспертизы кибербезопасности Сбербанка Сергей Крайнов сообщил, что банк начал проводить приватные программы багбаунти перед запуском публичных.
Он также уточнил, что фактически речь идет о четырех продуктах, так как при поиске уязвимостей в "СберБанк Онлайн" исследователям будет доступен для изучения и сервис для входа на сайты и в приложения экосистемы продуктов банка – "Сбер ID".
Согласно материалам Bi.Zone, за уязвимости в "СберБанк Онлайн" и "СберИнвестиции" баг-хантеры могут получить до 500 тысяч рублей за найденную уязвимость. На уязвимостях на официальном сайте Сбербанка исследователи могут заработать до 200 тысяч рублей.
Крайнов подчеркнул, что за время проведения приватных программ багбаунти было выявлено около 30 уязвимостей, но ни одна из них не была критической.
Сейчас в России действуют три платформы для проведения программ багбаунти – BugBounty.ru, Standoff 365 Bug Bounty от Positive Technologies и Bi.Zone Bug Bounty. По состоянию на текущий момент на этих площадках 29 компаний проводят 74 публичные программы багбаунти.
