«Авито» увеличил награду за найденные уязвимости
24.02.2025

Компания «Авито» увеличила максимальную награду за найденные в своих продуктах критические уязвимости. Сумма выплаты выросла до 500 тыс. рублей.

Эта инициатива является частью программы Bug Bounty, направленной на постоянный мониторинг и устранение рисков безопасности.

Как одна из первых российских платформ, внедривших подобную систему, «Авито» стремится оперативно закрывать уязвимости и минимизировать потенциальные угрозы. Размер вознаграждения за найденную уязвимость определяется десятками критериев, включая влияние бага на бизнес-платформы, сложность его исправления, широту аудитории, которую он может охватить, и другими.

Рост вознаграждений должен привлечь больше внешних специалистов, что повысит уровень безопасности сервисов компании. В 2025 году «Авито» планирует увеличить затраты на кибербезопасность на 50% по сравнению с 2024 годом.

Участники программы могут проверить безопасность всех мобильных и веб-приложений компании, а также любых доступных сервисов, размещенных на поддоменах *.avito.ru.
Задача исследователей — находить ошибки в коде, которые влияют на безопасность сервисов «Авито». Например, слабые места, которые позволяют получить доступ к данным пользователей, платежной информации, важным файлам или повлиять на стабильную работу сайта.

Помимо Bug Bounty, команда кибербезопасности «Авито» развивает систему защиты, которая внедряется с начальных стадий разработки. На каждом этапе разработки продукта используются сканеры для проверки кода на наличие уязвимостей, а также проводятся ручные аудиты безопасности – специалисты имитируют потенциальные действия злоумышленников. Технические команды проходят обучение безопасной разработке.

Такой комплексный подход позволяет создавать механизмы безопасности и поддерживать высокий уровень защиты сервисов «Авито» от взломов и утечек.