Allegro uruchomił publiczny program bug bounty - za znalezienie błędu firma zapłaci od 200 do 3000 dolarów. W określonych przypadkach nagroda może być wyższa.
Jak donosi serwis Zaufana Trzecia Strona, Allegro z pomocą HackerOne uruchomił publiczny bug bounty. Pomysł płacenia za znalezienia luk istnieje w firmie od 2018 roku, jednak do tej pory była to inicjatywa dla wybranych.
Błędy można zgłaszać za pomocą strony HackerOne (https://hackerone.com/allegro). Firma po weryfikacji wykrytej luki wypłaca:
- w przypadku znalezienia błędu małej podatności 300 dol.
- średniej - 500 dol.
- wysokiej - 1000 dol.
- krytycznej - 3000 dol.
"Jak dotąd, otrzymaliśmy ok. 270 zgłoszeń dotyczących możliwych błędów, z których po analizie ok. 100 okazało się potencjalnymi lukami w naszym środowisku, które wyeliminowaliśmy. Główne kategorie błędów to XSS, CSRF i IDOR. Za wykrycie wszystkich z nich wypłaciliśmy łącznie 40 tys. dolarów" opowiadają o dotychczasowych wynikach Wojciech Lesicki i Sebastian Kaniewski w rozmowie z serwisem zaufanatrzeciastrona.pl.
WS
