«Т‑Технологии» объявила о расширении программы поиска уязвимостей. Компания запустила новое направление — тестирование «недопустимых событий», сценариев, способных подтвердить или опровергнуть устойчивость ключевых систем и процессов «Т‑Технологий» к критическим воздействиям.
Как отметили в компании, новая программа реализована по принципу pay‑for‑impact, когда вознаграждение выплачивается не просто за найденную уязвимость, а за показанный сценарий, проверяющий реальную устойчивость экосистемы. Однако исследователям в рамках программы не ставятся жёсткие ограничения по вектору атак, поэтому разрешено искать слабые места в мобильных приложениях, API, бизнес‑логике, интеграциях с партнёрами и других элементах цифровой инфраструктуры.
По словам руководителя департамента информационной безопасности «Т‑Банка» Дмитрия Гадаря, задача расширения программы — не заменить стандартный поиск багов, а дополнить его новым направлением, например, стимулировать исследователей искать комплексные сценарии, позволяющие на практике подтвердить защищённость систем. Такой подход делает безопасность более прозрачной и технологичной. На момент написания материала программа работает в приватном режиме и открыта только для ограниченного круга исследователей. Ключевые параметры программы:
Платформой, где будет действовать новая программа, выступает Standoff Bug Bounty. Вознаграждение за воспроизведение PoC, приводящего к подтверждённому недопустимому событию, варьируется: за недопустимое событие — 3 млн рублей, за реализацию промежуточных событий — от 100 тысяч рублей до 1,5 млн рублей в зависимости от влияния и сложности.
Промежуточные результаты запуска программы компания планирует подвести 1 апреля 2026 года.
Что «Т‑Банк» понимает под «недопустимыми событиями»:
• попытки несанкционированного доступа к внутренним сервисам;
• закрепление на сервере базы данных от имени привилегированной учётной записи;
• внедрение кода в цепочку релизов продуктов;
• обход механизмов защиты и мониторинга.
Источник: habr.com