«Контур» открыл публичную программу поиска уязвимостей на площадке Standoff Bug Bounty
Компания перевела свою багбаунти-программу из приватного формата в публичный и стал доступен исследователям на площадке Standoff Bug Bounty.
Ранее программа действовала в закрытом режиме и была рассчитана на ограниченный круг специалистов. Теперь к ней может присоединиться открытое сообщество исследователей, готовое тестировать сервисы компании и помогать в повышении их устойчивости к кибератакам.
В приоритете – все ключевые сервисы и продукты Контура. Наибольший интерес представляют уязвимости, связанные с аутентификацией, сценарии компрометации учетных записей пользователей, уязвимости на стороне сервера, а также уязвимости класса Broken Access Control, которые могут привести к массовой компрометации пользовательских данных.
Для участия в тестировании открыты основные домены компании: kontur.ru, skbkontur.ru и серверные уязвимости, найденные на домене kontur.host.
Решение о переходе в публичный формат стало итогом нескольких лет внутренней работы. За время приватного этапа исследователи выявили десятки уязвимостей, включая критические. Компания выстроила процесс триажа — приема, анализа и приоритезации угроз, внедрила систему обратной связи и увеличила выплаты. Каждый отчет теперь сопровождается пояснениями и доказательной базой, а оценка проводится с учетом не только технического последствий, но и новизны представленного вектора атаки.
Выбор площадки Standoff Bug Bounty (входит в экосистему продуктов платформы Standoff 365) обусловлен репутацией Positive Technologies как надежного партнера, а также развитой инфраструктурой взаимодействия с исследовательским сообществом. Подробнее о программе поиска уязвимостей Контура можно узнать на сайте.
Михаил Добровольский, заместитель генерального директора СКБ Контур, руководитель департамента корпоративного управления, говорит: «Багбаунти — это часть зрелой культуры безопасности. Мы видим большую ценность в объединении корпоративной экспертизы и опыта внешних исследователей. Публичный формат позволит ускорить поиск уязвимостей, повысить надежность сервисов и укрепить доверие клиентов к продуктам Контура».
Standoff Bug Bounty — крупнейшая российская площадка для поиска уязвимостей в системах компаний. С момента запуска в мае 2022 года она привлекла свыше 30 тысяч исследователей кибербезопасности. За последние полтора года число белых хакеров на ней увеличилось более чем в три раза, а общее количество сданных отчетов — более чем в пять раз. Всего на платформе было опубликовано свыше 300 программ по поиску уязвимостей, а общий объем вознаграждений превысил 310 млн рублей.
О компании
Контур — экосистема для бизнеса, которая помогает тратить меньше времени на рутину, а общение с госорганами и поставщиками делает проще и прозрачнее. В портфеле Контура — интернет-отчетность и онлайн-бухгалтерия, сервисы для ЭДО и работы с маркировкой, облачный товароучет и онлайн-кассы, проверка контрагентов, решения по обеспечению информационной безопасности, электронные подписи для любых задач. Все сложное зашито в алгоритмах сервиса, чтобы директора, бухгалтеры, юристы не тратили время на изучение законов, а развивали свое дело.
Бренд «Контур» принадлежит группе компаний СКБ Контур, основанной в 1988 году. Выручка СКБ Контур за 2024 год составила 40,4 млрд рублей, решениями ГК пользуются более 3 млн компаний в России и за рубежом.
