Positive Technologies выводит свои продукты на багбаунти

Основная часть программы стартует в 2025 году, остальные продукты выйдут на багбаунти в 2026 году.

Positive Technologies запустила на площадке Standoff Bug Bounty отдельные программы по поиску уязвимостей сразу для 15 своих продуктов. Будучи одним из лидеров в сфере результативной кибербезопасности, компания предоставила тысячам независимых специалистов по всему миру возможность непрерывно проверять защищенность своих решений. Вознаграждение за результативную попытку выявления наиболее опасных уязвимостей в рамках новых программ может достигать до полумиллиона рублей.

Каждая из новых программ содержит список из 10–15 возможных уязвимостей, ранжированных по степени опасности для каждого продукта. Среди них, например, потенциальное получение прав администратора в PT NGFW, попытка обхода аутентификации в интерфейсе управления PT Application Inspector или возможность удаления следов атак в PT Network Attack Discovery. За изучение реализации критических рисков багхантеры могут получить от 300 до 500 тысяч рублей, а за исследование уязвимостей высокого уровня опасности — от 150 до 300 тысяч.

Компания также обновила уже действующие программы багбаунти. В запущенную более трех лет назад программу  Positive dream hunting, нацеленную на поиск недопустимых для бизнеса событий, добавлен третий критический риск — кража персональных данных. Ранее в нее вошли два таких события — хищение денег со счетов компании и внедрение условно вредоносного кода. Награда за исследование этих недопустимых сценариев может достичь до 60 млн рублей. В то же время расширена и область действия другой долгосрочной программы — Positive bug hunting, направленной на выявление уязвимостей в веб-сервисах Positive Technologies. Она включает в себя все основные