«Авито» увеличила выплаты по программе поиска уязвимостей до 500 тысяч рублей

Компания увеличила максимальную награду за найденные в ее продуктах критические уязвимости

4 февраля 2025 г.

Исследователи безопасности смогут получить за них до 500 тысяч рублей в рамках программы выплат на платформе BI.ZONE Bug Bounty. Это позволит привлечь больше внешних специалистов, чтобы сделать сервисы «Авито» более безопасными для пользователей, особенно учитывая общий рост спроса на такие программы на рынке. В 2025 году «‎Авито» планирует увеличить затраты на кибербезопасность на 50% по сравнению с 2024 годом.

«Авито» стала одним из первых игроков российского рынка онлайн‑коммерции, которые запустили собственную инициативу для багхантеров. Инициатива багбаунти позволяет компании поддерживать систему постоянного мониторинга рисков безопасности. С ее помощью команде удается оперативно закрывать уязвимости и минимизировать потенциальные потери. Размер вознаграждения за найденную уязвимость определяется десятками критериев, включая влияние бага на бизнес-платформы, сложность его исправления и широту аудитории, которую он может охватить.

Участники программы могут проверить безопасность всех мобильных и веб‑приложений компании, а также любых доступных сервисов, размещенных на поддоменах *.avito.ru. Задача исследователей — находить ошибки, которые влияют на безопасность, например слабые места, которые позволяют получить доступ к данным пользователей, платежной информации или важным файлам либо повлиять на стабильную работу сайта.

BI.ZONE отмечает рост интереса бизнеса к программам поиска уязвимостей: средняя выплата на платформе выросла за год на 14% — до 44 тыс. руб., а количество программ от компаний достигло 98, увеличившись почти вдвое по сравнению с 2023 годом. На этом фоне «Авито» стремится предоставить наиболее привлекательное предложение для исследователей.

Помимо багбаунти, команда кибербезопасности «Авито» развивает систему защиты, которая внедряется с начальных стадий разработки. На каждом этапе разработки продукта используются сканеры для проверки кода на наличие уязвимостей, а также проводятся ручные аудиты безопасности — специалисты имитируют потенциальные действия злоумышленников. Технические команды проходят обучение безопасной разработке. Такой комплексный подход позволяет создавать механизмы безопасности и поддерживать высокий уровень защиты сервисов «Авито» от взломов и утечек.

Андрей Усенок

Руководитель по информационной безопасности «Авито»

Багбаунти-программа позволяет повысить уровень защищенности ресурсов компании. При этом развитие программ и увеличение выплат — важный шаг, который позволяет привлечь больше опытных независимых исследователей и повысить уровень защищенности ресурсов. Мы видим растущий интерес крупных компаний к инвестициям в безопасность своих цифровых ресурсов. BI.ZONE Bug Bounty предоставляет бизнесу эффективный механизм выявления и устранения угроз, а багхантерам — вознаграждение за работу.

Андрей Лёвкин

Руководитель продукта BI.ZONE Bug Bounty

BI.ZONE Bug Bounty — это платформа для проверки защищенности внешней инфраструктуры с привлечением независимых исследователей. Компании размещают программы на платформе и получают отчеты об обнаруженных уязвимостях. Багхантеры при этом выбирают интересные для себя программы, ищут уязвимости и получают денежное вознаграждение за подтвержденные баги.