[recovery mode] Bug bounty Ozon: вопросы и ответы
Мы запустили публичную bug bounty программу на HackerOne — теперь за найденные на сайте Ozon уязвимости можно получить вознаграждение, а заодно помочь компании, сервисом которой пользуются друзья, знакомые и родственники. В этой статье команда информационной безопасности Ozon отвечает на самые популярные вопросы о программе.
Какие ресурсы Ozon участвуют в программе?
Пока только основной сайт, но мы планируем подключать и другие сервисы.
Сколько платим за найденные баги?
В каждом отдельном случае размер вознаграждения зависит от критичности уязвимости, качества отчета и других критериев — в конечном итоге мы определяем его индивидуально. Подробности можно узнать тут.
Кому-то уже заплатили?
Да, в марте программа стартовала в закрытом режиме, и порядка 360 000 рублей мы уже заплатили исследователям.
Первый репорт мы получили от r0hack в тогда ещё приватной программе, об отсутствии защиты от атак вида CSRF. У нас действительно не используется классический способ защиты от подобных атак в виде т.н. CSRF-токена, которым подписывается соответствующий запрос (см. OWASP Cross-Site Request Forgery Prevention Cheat Sheet), мы сделали ставку на относительно новый, но уже достаточно давно поддерживаемый всеми основными браузерами, механизм маркировки сессионных кук атрибутом SameSite. Его суть в том, что такая сессионная кука перестает передаваться (в зависимости от значения атрибута) при обычных межсайтовых запросах. Таким образом решается изначальная причина, приводящая к CSRF. Проблема для нас оказалась в том, что сессионная кука также менялась и на стороне браузера в JavaScript (да-да, это само по себе плохо и совсем скоро избавимся от этого) и там этот атрибут сбрасывался, выключая таким образом защиту — и вот это оказалось для нас неприятным сюрпризом, а исследователю пришлось приложить усилия, чтобы доказать нам с помощью PoC и видео, существование проблемы. За что ему отдельное спасибо!
Почему сразу не запустились в публичном доступе?
Классическая история для практически всех bug bounty программ — первая волна репортов, которая накрывает команду безопасности. При этом важно держать допустимый SLA по ответам и вообще реакции в репортах. Поэтому мы решили запускаться сначала в приватном режиме, постепенно увеличивая количество приглашенных исследователей и отлаживая соответствующие внутренние процессы.
Теперь Ozon сам безопасностью заниматься не намерен?
Наоборот — мы усиливаем команду и планируем не только активнее работать с сообществом хакеров, но и продолжим выстраивать процессы в рамках S-SDLC, включая: контроль безопасности кода, анализ защищённости сервисов и обучение сотрудников, и даже проводить митапы об инфобезе. Кстати, выступление руководителя группы продуктовой безопасности Тараса Иващенко с предыдущего OWASP митапа можно почитать у нас в блоге.
Запасаемся кофе и удачного хакинга!