Программа багбаунти в K2 Cloud

Компания K2 Cloud (подразделение «К2Тех») объявила о запуске программы багбаунти, направленной на повышение прозрачности и дополнительную защиту облачных сервисов компании. Первый этап будет проводиться в закрытом формате: участвовать в нем смогут исследователи, верифицированные на Standoff Bug Bounty (компании Positive Technologies) – российской площадки для поиска уязвимостей в системах компаний. К участию приглашены более 100 лучших багхантеров платформы.


На данный момент на площадке Standoff Bug Bounty уже запущены программы по поиску уязвимостей ряда крупнейших российских сервисов: в их числе «Госуслуги», Единая биометрическая система (ЕБС), Ozon, «Купер», «Самокат», ЮMoney и другие.

Как комментируют в K2 Cloud, уровень защищенности платформы подтвержден ведущими отраслевыми стандартами, включая 152-ФЗ, PCI DSS 4.0 и ГОСТ Р 57580.1-2017. Коспания считает ключевой задачей эффективную защиту облака, поэтому приняла решение пригласить внешних исследователей, которые  помогут сделать платформу более надежной. В программе багбаунти вознаграждение зависит от реальных находок, что повышает мотивацию к глубинному поиску уязвимостей.

На старте программы K2 Cloud будет выплачивать вознаграждения до 300 тыс. руб. за найденную уязвимость. Размер выплаты зависит от типа и уровня влияния проблемы на безопасность сервисов и данных клиентов. По мере развития инициативы сумма выплат будет расти.


Особое внимание уделяется уязвимостям, способным повлиять на работу инфраструктуры: удаленному исполнению кода, SQL-инъекциям, обходу аутентификации и авторизации, SSRF, ошибкам бизнес-логики и др. Для проверки доступны ключевые сервисы платформы: веб-консоль управления облачными ресурсами и домены основных компонентов.