Как багбаунти помогает e-commerce снижать киберриски: опыт «Авито» и BI.ZONE Bug Bounty
| Information Security
BI.ZONE Bug Bounty
Платформа для проверки защищенности внешней инфраструктуры независимыми исследователями
Назначение
Компании хотят быстро и недорого узнавать, насколько их IT‑активы устойчивы к атакам. Независимым исследователям безопасности — багхантерам — интересно искать уязвимости и зарабатывать на этом.
Платформа BI.ZONE Bug Bounty связывает компании и багхантеров. Первым она помогает запускать программы bug bounty
Платформа BI.ZONE Bug Bounty связывает компании и багхантеров. Первым она помогает запускать программы bug bounty
в 53%
случаев удается получить доступ к конфиденциальным данным при анализе безопасности
41%
приложений обладает слабыми инструментами защиты
Узнайте о возможностях BI.ZONE Bug Bounty:
Запускайте публичное или закрытое тестирование
Вы сами решаете, кому будет доступна программа: всем участникам платформы или ограниченному кругу, например только исследователям с наивысшим рейтингом
Создавайте результативную программу bug bounty
Мы поможем определить границы работ для тестирования и подскажем, какое вознаграждение установить для уязвимостей разного уровня критичности. Так программа будет интересна багхантерам и выгодна вам
Упрощайте поиск исследователей
Привлечем участников для bug bounty: пригласим багхантеров из нашей базы, расскажем о вашей программе в СМИ и соцсетях
Передавайте рутинные обязанности команде BI.ZONE
По запросу мы проведем триаж обнаруженных уязвимостей: убедимся, что в рамках программы их раньше не выявляли и они действительно могут привести к негативным последствиям. А еще мы сами организуем выплату вознаграждений
Схема работы программы bug bounty
Компетенции BI.ZONE
Профессионализм экспертов BI.ZONE признают ведущие международные организации
Сертификаты
Платформа BI.ZONE Bug Bounty
включена в реестр отечественного ПО
Посмотрите, как работает платформа BI.ZONE Bug Bounty
-
Продемонстрируем возможности платформы и ответим на ваши вопросы
-
Предоставим бесплатный демодоступ
Вам также может подойти
Легитимный поиск уязвимостей
Занимайтесь любимым делом без юридических рисков
Возможность участия в приватных программах
Прокачивайте навыки и участвуйте в bug bounty с большими выплатами
Переход без потери рейтинга
Сохраняйте накопленный за рубежом рейтинг, продолжайте его повышать и получайте признание в сообществе
При спорных ситуациях — помощь BI.ZONE
Обращайтесь за поддержкой, если возникнут споры с компаниями — мы все урегулируем
Гибкое оформление выплат
Выбирайте, как получать дополнительный заработок: как физическое лицо, самозанятый или ИП; на карту или счет
Удобные инструменты для работы с отчетами
Пользуйтесь markdown‑разметкой и готовыми шаблонами, чтобы описание уязвимостей не отнимало много сил
Компетенции BI.ZONE
Профессионализм экспертов BI.ZONE признают ведущие международные организации
Вам также может подойти
Разделы платформы
Публичное пространство
- Новости и блог
- Список лучших багхантеров платформы
- Перечень компаний, разместивших программы на платформе
- Сводка найденных уязвимостей по всем компаниям
Для компаний
- Все программы компании с удобными настройками форматирования
- Список отчетов от багхантеров с гибкой фильтрацией — по статусам, датам и пр.
- Статистика работы программ компании
Для багхантеров
- Перечень публичных и приватных программ
- Markdown-редактор отчетов и набор готовых шаблонов
- Статусы отправленных отчетов и инструменты прозрачной коммуникации с компаниями
- Статусы выплат вознаграждений
Схема коммуникаций
Компании
- Размещают программы и оптимизируют их в процессе работы
- Подтверждают уязвимости сами или делегируют эту задачу команде BI.ZONE
- Платят только за подтвержденные уязвимости
- Настраивают внутренние процессы для оперативного закрытия уязвимостей
Команда BI.ZONE Bug Bounty
- Привлекает багхантеров и компании на платформу
- Помогает компании разработать условия программ, которые заинтересуют багхантеров
- Развивает сообщество багхантеров
- Оказывает поддержку в решении спорных ситуаций
- Проводит выплаты от компаний багхантерам
- По запросу компаний проверяет отчеты об обнаруженных уязвимостях
Багхантеры
- Выбирают понравившиеся компании и тестируют их IT‑активы
- Передают компаниям отчеты о найденных уязвимостях
- Если уязвимость подтверждена — получают вознаграждение от компании удобным способом
Видео
Итоги года BI.ZONE Bug Bounty представили на OFFZONE 2024
Запись пресс-конференции на OFFZONE от 22 августа 2024
#мероприятия #продукты #интервью
Итоги года BI.ZONE Bug Bounty представили на OFFZONE 2024
Эксперты BI.ZONE и других организаций обсудили развитие рынка багбаунти в России, поделились результатами работы платформы BI.ZONE Bug Bounty и впечатлениями ее пользователей. В конференции участвовали:
- Евгений Волошин, директор департамента анализа защищенности и противодействия мошенничеству, BI.ZONE
- Андрей Лёвкин, руководитель продукта BI.ZONE Bug Bounty
- Сергей Крайнов, начальник управления экспертизы кибербезопасности, Сбер
- Роман Мылицын, руководитель направления перспективных исследований и инновационных проектов, «Группа Астра»
- Артём Бельченко, независимый исследователь
Что будет с багбаунти в 2025 году
Андрей Лёвкин, руководитель продукта BI.ZONE Bug Bounty | «Похек»
#интервью #тренды #продукты
Что будет с багбаунти в 2025 году
Андрей Лёвкин, руководитель продукта BI.ZONE Bug Bounty, рассказал о каждом этапе развития рынка багбаунти и поделился инсайдами на этот счет. Также он сравнил пентест и багбаунти, а еще дал несколько полезных советов багхантерам
Релиз платформы BI.ZONE Bug Bounty: от идеи до запуска
Интервью представителей BI.ZONE и «Авито» с презентации платформы BI.ZONE Bug Bounty от 25 августа 2022
#bugbounty #интервью #продукты #мероприятия
Релиз платформы BI.ZONE Bug Bounty: от идеи до запуска
В беседе участвовали:
- • Евгений Волошин, директор по стратегии BI.ZONE
- • Сергей Колесников, тимлид BI.ZONE Bug Bounty
- • Валентин Лякутин, руководитель продуктовой безопасности «Авито»
Поговорили о создании платформы, ее возможностях и планах развития
О возможностях платформы для поиска уязвимостей BI.ZONE Bug Bounty
Ролик с презентации платформы BI.ZONE Bug Bounty от 25 августа 2022 г.
#мероприятия #продукты
О возможностях платформы для поиска уязвимостей BI.ZONE Bug Bounty
Кратко о том, как на OFFZONE 2022 прошла презентация платформы BI.ZONE Bug Bounty, а также чем она полезна бизнесу и багхантерам
Публикации
В 2 раза выросло количество компаний на BI.ZONE Bug Bounty за последний год
| Национальный Банковский Журнал
BI.ZONE Bug Bounty: интервью с Евгением Волошиным
| Cyber Media
Май 2024 г.
- Запустили телеграм‑бота, которого можно подключить через раздел «Доступы» в профиле на платформе. Сотрудникам организаций придет уведомление, если они долго не рассматривают отчет. Багхантерам это поможет сократить время ожидания и быть в курсе актуальных статусов по отчету.
- В API добавили новые методы для редактирования правил программы и работы с выплатами. Настройка автоматизации стала более удобной.
- Переехали на капчу от «Яндекса». Она работает более стабильно, чем предыдущая версия, и позволяет избежать проблем с авторизацией при входе.
- Обновили текстовый редактор Markdown. Теперь можно вставлять изображения в поле с описанием отчета для большей информативности и наглядности.
- Устранили мелкие ошибки в работе платформы.
Декабрь 2023 г.
- Расширили доступ к изменению критичности отчета: теперь это могут делать все сотрудники компании, а не только администраторы программы.
- Добавили возможность прикреплять отчет в статусе «Дубликат» к отчету в статусе «Подтверждение от администратора компании». Это ускорит обратную связь от организаций: исследователю не придется ждать, пока отчет пройдет все этапы согласования и окажется в статусе «Уязвимость подтверждена».
- Разработали поиск отчета по ID. Это упростит взаимодействие с платформой.
- Обеспечили компаниям пользование внешним swagger. Это позволит автоматизировать внутренние процессы, используя API. Также из API теперь можно получить дату назначения выплаты — это поможет в построении и отслеживании метрик.
- Ликвидировали ошибки при скачивании некоторых отчетов в формате PDF.
- Устранили мелкие ошибки в работе платформы.
- Повысили производительность платформы.
Октябрь 2023 г.
- Исправили ошибку, из‑за которой отображались сотрудники всех вендоров при попытке назначить ответственного за отчет.
- Добавили для всех сотрудников компании возможность назначать ответственного за отчет. Раньше это мог делать только администратор. Взаимодействие с платформой станет проще, а лишние коммуникации внутри команды сократятся.
- Разработали в API функциональность для получения вложений из отчетов. Теперь интегрировать платформу во внутренние сервисы стало еще удобнее.
- Добавили возможность скачивать каждый отчет в PDF‑формате. Это позволит сделать отчетность внутри компании проще.
- Увеличили количество прикрепляемых к отчетам файлов до 10 штук, к каждому комментарию — до 5.
Август 2023 г.
Внедрение достижений и квартального рейтинга для независимых исследователей
Квартальный рейтинг
Раз в три месяца независимый исследователь сможет получить награду — bronze, silver или gold — в трех категориях:
- King of reports — за максимальное количество подтвержденных отчетов.
- Top moneymaker — за самую большую суммарную выплату.
- Jack of all trades — за наивысший общий рейтинг на платформе.
Если независимый исследователь станет обладателем награды, то об этом узнают все — у его аватарки появится огонек. Пометка исчезнет после выхода нового рейтинга, но информация о прошлых достижениях навсегда останется в профиле.
Достижения
В отличие от наград в квартальных рейтингах, достижения присваиваются не каждые три месяца, а один раз и навсегда. Их получают независимые исследователи, которые преодолеют пороговые значения по определенным показателям. Достижения могут быть разного статуса: bronze — за нижнюю планку, silver — за среднюю и gold — за верхнюю.
- Gold miner — за получение единовременной выплаты в размере 10 000, 100 000 и 500 000 рублей.
- Philanthropist — за пожертвование на благотворительность в размере 5000, 25 000 и 100 000 рублей.
- Top reporter — за получение баунти по 5, 50 и 150 отчетам.
- Program lord — за обнаружение уязвимостей в 5, 25 и 50 разных программах.
Обновление дизайна
- Установили аватарку по умолчанию. Если в профиль не добавить изображение, подтянется картинка из нашей базы.
- Обновили дизайн страницы для профиля пользователя и раздела «Платежные документы» в ней.
- Изменили вид аватарок: у каждой есть рамка, у изображений для верифицированных пользователей — галочка, а если исследователь сейчас занимает первое место в квартальном рейтинге — огонек.
Улучшение навигации
- Перестроили страницу «Репутация» для независимых исследователей: теперь она называется «Рейтинг», а внутри делится на «Общую статистику» и «Рейтинг по кварталу».
- Добавили раздел «Доступы» в профиле пользователя: теперь там собраны все настройки для входа в платформу, а также VPN и авторизационный токен.
- Сделали раздел «Личная хакативность» в профиле: там все сданные отчеты и статистика профиля.
Июль 2023 г.
- Разработали и внедрили API для платформы. Компаниям станет удобнее автоматизировать работу с отчетами и интегрировать их во внутренние корпоративные системы.
- Изменили формат выдачи VPN‑конфигурации на .ovpn и перенастроили сервис. Теперь пользоваться VPN‑сервисом станет удобнее, а сам он будет работать стабильнее.
- Унифицировали для безопасности формат никнеймов: они будут состоять только из цифр, латинских букв, дефисов и подчеркиваний. Никнеймы, состоящие из других символов, были переименованы.
- Сделали более понятным и корректным отображение ошибки при попытке установить выплату больше доступного баланса в программе компании.
- Изменили группировку для статусов отчетов на более логичную: полностью открытые отчеты перенесли в группу «Решенные», а репорты в статусе «Запрошено частичное раскрытие» вынесли в главную ленту.
- Переделали порядок сортировки достижений пользователя в профиле — они показываются от новых к старым.
- Скорректировали возможность смены статуса для отчетов с назначенной выплатой: их теперь получится перевести только в статус «Уязвимость подтверждена».
- Повысили производительность платформы и исправили мелкие ошибки.
Июнь 2023 г.
- Увеличили лимит загружаемых файлов в отчетах и комментариях до 2 ГБ в неделю. Теперь независимым исследователям можно будет добавить больше PoC.
- Добавили уведомление об ошибке в случае указания некорректной выплаты: некорректно заполненное поле будет выделено.
- Добавили очистку метаданных для файлов, загружаемых на платформу.
- Улучшили панель со статусами отчетов: все статусы собраны в одной вкладке. Компаниям станет удобнее работать с отчетами исследователей.
- Добавили функцию фильтрации отчетов по нескольким статусам одновременно.
- Расширили уведомления об ошибке, всплывающие при проблемах с восстановлением пароля. Теперь будет видно, какое поле заполнено неверно.
- Разработали автоматическое проставление даты и времени публикации для комментария при сдаче отчета.
- Расширили возможность использовать рейтинг для приглашения исследователей в приватные программы.
- Повысили производительность платформы и исправили небольшие ошибки.
