Lançamos um programa público de recompensas de bugs no HackerOne - agora você pode receber uma recompensa por vulnerabilidades encontradas no site da Ozon e, ao mesmo tempo, ajudar uma empresa cujo serviço é usado por amigos, conhecidos e parentes. Neste artigo, a equipe de segurança da informação da Ozon responde às perguntas mais populares sobre o programa.
Quais recursos do Ozon estão envolvidos no programa?
Até o momento, apenas o site principal, mas planejamos conectar outros serviços também.
Quanto pagamos pelos bugs encontrados?
Em cada caso, o valor da remuneração depende da gravidade da vulnerabilidade, da qualidade do relatório e de outros critérios - no final, determinamos individualmente. Detalhes podem ser encontrados aqui .
Alguém já foi pago?
Sim, em março, o programa começou a portas fechadas e já pagamos cerca de 360.000 rublos aos pesquisadores.
O primeiro relatório que recebemos do r0hack em um programa então privado, sobre a falta de proteção contra ataques como o CSRF. Realmente não usamos o método clássico de proteção contra esses ataques na forma dos chamados. O token CSRF, com o qual a solicitação correspondente é assinada (consulte a Planilha de prevenção de falsificação de solicitações entre sites da OWASP ), contamos com um mecanismo relativamente novo, mas há muito tempo suportado por todos os principais navegadores, mecanismo para marcar cookies de sessão com o atributo SameSite. Sua essência é que esse cookie de sessão deixa de ser transmitido (dependendo do valor do atributo) durante solicitações normais entre sites. Isso resolve a causa original que leva ao CSRF. O problema para nós acabou sendo que o cookie de sessão também mudou no lado do navegador em JavaScript ( sim, isso é ruim em si e vamos nos livrar dele muito em breve ) e aí esse atributo foi redefinido, desativando a proteção - e isso acabou uma surpresa desagradável para nós, e o pesquisador teve que fazer um esforço para provar para nós, usando PoC e vídeo, que o problema existia. Por que agradecimentos especiais a ele!
Por que eles não começaram em domínio público imediatamente?
Uma história clássica para quase todos os programas de recompensas de bugs - a primeira onda de relatórios a atingir a equipe de segurança. Ao mesmo tempo, é importante manter um SLA aceitável para respostas e, em geral, reações nos relatórios. Portanto, decidimos começar primeiro no modo privado, aumentando gradualmente o número de pesquisadores convidados e depurando os processos internos correspondentes.
Agora, o próprio Ozon não pretende lidar com segurança?
Pelo contrário, estamos fortalecendo a equipe e planejamos não apenas trabalhar mais ativamente com a comunidade de hackers, mas também continuamos a criar processos no S-SDLC, incluindo: controle de segurança de código, análise de segurança de serviço e treinamento de funcionários, e até realizamos reuniões sobre infobase. A propósito, o discurso do chefe do grupo de segurança alimentar Taras Ivashchenko do encontro anterior da OWASP pode ser lido em nosso blog.
Estoque de café e hackers felizes !