Альфа-Банк выплатит вознаграждение за выявление уязвимостей в удаленном выполнении кода (remote code execution, RCE), контроле доступа (broken access control, IDOR, broken session management); аутентификации (missing authorization, improper authorization); захвате учетной записи (account takeover), в раскрытии конфиденциальной информации (data exposure) и многих других.
Для исследования доступны веб- и мобильные приложения сервисов Альфа-Онлайн, Альфа-Инвестиции, Альфа-Бизнес и другие ресурсы, говорится в сообщении банка.
«Безопасность цифровых сервисов — один из ключевых приоритетов Альфа-Банка. Запуск публичной программы багбаунти — это еще один шаг в сторону повышения защищенности и доступности наших продуктов, обеспечения безопасности как клиентских данных, так и финансовых средств. Мы уверены, что сотрудничество с сообществом специалистов по информационной безопасности выведет нас на новый уровень», — прокомментировал руководитель департамента кибербезопасности Альфа-Банка Сергей Крамаренко.
Размер вознаграждения зависит от уровня критичности найденной уязвимости и может достигать 400 тысяч рублей.
«Банковская сфера — одна из самых технологически развитых и в то же время наиболее атакуемых отраслей. Выход публичной программы Альфа-Банка на платформу BI.ZONE Bug Bounty подчеркивает стремление организации к максимальной прозрачности и защищенности своих ресурсов. Этот шаг поможет выявлять баги на раннем этапе и еще больше укрепит доверие клиентов к цифровым сервисам банка», — отметил руководитель продукта BI.ZONE Bug Bounty Андрей Левкин.
BI.ZONE Bug Bounty — платформа для проверки защищенности внешней инфраструктуры с привлечением независимых исследователей. Компании размещают программы на платформе и получают отчеты об обнаруженных уязвимостях. Багхантеры при этом выбирают интересные для себя программы, ищут уязвимости и получают денежное вознаграждение за подтвержденные баги.