K2 Cloud запускает программу багбаунти для повышения уровня безопасности своей облачной платформы

23.09.2025 |

K2 Cloud (подразделение К2Тех) объявляет о запуске программы багбаунти, направленной на повышение прозрачности и дополнительную защиту облачных сервисов компании. Первый этап будет проводиться в закрытом формате: участвовать в нем смогут исследователи, верифицированные на Standoff Bug Bounty (от компании Positive Technologies) — крупнейшей российской площадки для поиска уязвимостей в системах компаний. К участию приглашены более 100 лучших багхантеров платформы.

На данный момент на площадке Standoff Bug Bounty уже запустили собственные программы по поиску уязвимостей ряд крупнейших российских сервисов: Госуслуги, Единая биометрическая система (ЕБС), Ozon, Купер, Самокат, ЮMoney и другие. Инициируя собственную программу, K2 Cloud подтверждает высокий уровень зрелости и ответственности перед клиентами.

«K2 Cloud стремится соответствовать высоким стандартам безопасности заказчиков и открыт для сотрудничества. Уровень защищенности нашей платформы подтвержден ведущими отраслевыми стандартами, включая 152-ФЗ, PCI DSS 4.0 и ГОСТ Р 57580.1-2017. Ключевой фокус для нас — эффективная защита облака. Поэтому мы приняли решение пригласить внешних исследователей, которые помогут сделать платформу ещё надёжнее. В программе багбаунти вознаграждение зависит от реальных находок, что повышает мотивацию к глубинному поиску уязвимостей. В совокупности с регулярными пентестами это делает систему защиты нашей облачной инфраструктуры более живой и эффективной»,— отметил Александр Лугов, руководитель группы по обеспечению информационной безопасности облачной платформы K2 Cloud.

На старте программы K2 Cloud будет выплачивать вознаграждения до 300 000 рублей за найденную уязвимость. Размер выплаты зависит от типа и уровня влияния проблемы на безопасность сервисов и данных клиентов. По мере развития инициативы сумма выплат будет расти.

Особое внимание уделяется уязвимостям, способным повлиять на работу инфраструктуры: удалённому исполнению кода, SQL-инъекциям, обходу аутентификации и авторизации, SSRF, ошибкам бизнес-логики и др. Для проверки доступны ключевые сервисы платформы: веб-консоль управления облачными ресурсами и домены основных компонентов.

По результатам опроса рынка от К2 Кибербезопасность, подавляющее большинство (64%) ИТ и ИБ-специалистов разных отраслей назвали самой актуальной угрозой этого года вирусов-шифровальщиков, 28% — АРТ-атаки (продолжительные целевые атаки), 8% — DDoS-атаки. K2 Cloud нацелен минимизировать риски, предоставляя исследователям возможность находить слабые места облачной платформы до того, как ими воспользуются злоумышленники.