Контур на Standoff Bug Bounty: компания заплатит белым хакерам до миллиона рублей за уязвимости

Контур запустил публичную программу для поиска уязвимостей на площадке Standoff Bug Bounty. Более 30 тысяч исследователей безопасности смогут протестировать всю продуктовую линейку бизнеса. Максимальное вознаграждение за реализацию особо опасных сценариев составит до 1 млн рублей.

Контур — один из крупнейших российских разработчиков программного обеспечения. Более 3 млн клиентов используют сервисы Контура для ведения бизнеса. В рамках повышения уровня защищенности компания запустила публичную программу багбаунти. Специалисты смогут протестировать всю продуктовую линейку бизнеса — от решения для интернет-отчетности и онлайн-бухгалтерии до сервисов ЭДО и платформ для коммуникаций и видеоконференций.

Наиболее приоритетными для компании будут уязвимости, связанные с аутентификацией, сценарии возможности компрометации учетных записей пользователей, server-side-уязвимости, а также уязвимости класса Broken Access Control, которые могут привести к массовой компрометации пользовательских данных. Максимальное вознаграждение для исследователей составит 1 млн рублей.

Мы переводим bug bounty в публичный формат, потому что хотим шире и глубже проверять критичные элементы периметра. В приоритете все ключевые домены и приложения Контура с особым вниманием к аутентификации и целостности пользовательских данных. За приватный период исследователи помогли выявить десятки уязвимостей, включая критические. Мы наладили триаж — прием, анализ и приоритизацию отчетов, усилили систему обратной связи и выплаты; каждый отчет сопровождается доказательной базой, а оценка учитывает не только влияние на бизнес, но и оригинальность вектора атаки. Площадка Standoff Bug Bounty и партнерство с Positive Technologies дают нам развитую инфраструктуру