В рамках программы bug bounty «белые хакеры» будут искать пробелы в безопасности на сайтах и в мобильных приложениях основных направлений бизнеса и сервисов Тинькофф Банка, Тинькофф Инвестиций, Тинькофф Бизнеса, Тинькофф Страхования и других.
В области действия программы только технические уязвимости. При этом размер вознаграждения зависит от критичности как самой уязвимости, так и системы, в которой ее обнаружили. Максимальная выплата на момент запуска программы — 150 000 ₽.
Багхантеры при желании могут отказаться от вознаграждения в пользу благотворительности. В таком случае Тинькофф увеличит сумму выплаты в 5 раз и отправит ее в один из надежных благотворительных фондов на усмотрение исследователя. Список фондов указан в приложении Тинькофф в разделе «Благотворительность». Все невостребованные в течение года награды также будут направлены в пользу проверенных фондов.
Дмитрий Гадарь, директор департамента информационной безопасности Тинькофф:
«Мы рады присоединиться к платформе BI.ZONE Bug Bounty в качестве первого банка и запустить свою публичную программу. Наша экосистема быстро развивается, и мы применяем лучшие мировые практики безопасной разработки, регулярно проводим внешние аудиты защищенности наших приложений, привлекая лучшие компании на рынке безопасности. Дополнительно, чтобы подтвердить максимальный уровень защиты миллионов наших клиентов, мы готовы использовать опыт широкой аудитории исследователей в этой области, как это делают крупнейшие компании по всему миру».
Тинькофф уже много лет развивает собственную программу bug bounty, как в приватном, так и в публичном форматах на различных площадках.
BI.ZONE Bug Bounty — это хаб, связывающий бизнес и независимых исследователей безопасности. На платформе организации размещают для багхантеров программы по поиску уязвимостей. Такой подход позволяет привлечь широкий круг специалистов к поиску слабых мест в системе безопасности бизнеса.
Евгений Волошин, директор по стратегии, директор департамента анализа защищенности и противодействия мошенничеству в BI.ZONE:
«Банковский и финансовый секторы находятся в топе самых атакуемых хакерами отраслей. Защита данных и денег своих клиентов — приоритет для игроков этого рынка. Размещая публичную программу, Тинькофф делает правильный выбор, ведь программы bug bounty зарекомендовали себя по всему миру. Их число ежегодно растет, а найденные уязвимости исчисляются десятками тысяч».
Подробнее о правилах участия в программе по поиску уязвимостей Тинькофф можно прочитать на платформе BI.ZONE Bug Bounty.
Презентация BI.ZONE Bug Bounty состоялась в августе на международной конференции по практической кибербезопасности OFFZONE 2022. Публичные программы на платформе уже разместили VK, «Авито» и Ozon.