InFakt uruchamia program Bug Bounty. Będą nagrody za wykrycie luk bezpieczeństwa
Firma inFakt, jako jedna z pierwszych w Polsce, otwiera program Bug Bounty. Podobnie jak największe firmy technologiczne na świecie, chce płacić użytkownikom swoich rozwiązań za znalezienie błędów i podatności związanych z bezpieczeństwem firmowych aplikacji oraz infrastruktury.
Na straży bezpieczeństwa danych
InFakt, oferujący rozwiązania księgowe, przetwarza nie tylko dane osobowe swoich klientów, ale również wrażliwe dane finansowe. Stąd też troska firmy o zapewnienie jak najwyższych standardów bezpieczeństwa oraz o zaufanie użytkowników do tworzonej przez inFakt technologii. Odnalezione podatności lub luki, czy to w ramach celowych poszukiwań, czy też w wyniku integracji interfejsu API z własną aplikacją, mają być zgłaszane inFaktowi dedykowanym do tego kanałem. Każde zgłoszenie będzie rozpatrzone indywidualnie przez Zespół ds. Bezpieczeństwa inFakt.
Za potwierdzone zgłoszenia wraz z informacją na temat sposobu ich odtworzenia inFakt przewiduje nagrody pieniężne. Kwoty nagród są szacunkowe, ponieważ po indywidualnym rozpatrzeniu mogą one jeszcze wzrastać – inFakt chętnie nagrodzi osoby, które będą mogły przyczynić się do jeszcze lepszej ochrony bezpieczeństwa danych jego użytkowników.
- Kategoria podatności krytyczna: nagroda od 3000 zł., np. SQL injection, RCE, nieautoryzowany dostęp do baz danych/serwerów/kontenerów, uzyskanie dostępu do kodu źródłowego aplikacji backendowych;
- Kategoria podatności wysoka: nagroda od 1000 zł, np. nieautoryzowany dostęp do systemu bez znajomości danych dostępowych, eskalacja uprawnień pozwalająca na znaczne zmiany w koncie, podmiana numeru konta bez autoryzacji;
- Kategoria podatności średnia: nagroda od 500 zł, np. clickjacking, CSRF;
- Kategoria podatności niska: nagroda od 250 zł, np. błędy logiczne aplikacji, procedury dotyczące większej grupy kont, które wpływają na bezpieczeństwo.
– InFakt przetworzył już około 31,5 miliona dokumentów księgowych swoich klientów, w tym spółek i małych firm. Przechowujemy terabajty danych – mówi Sebastian Bobrowski, wiceprezes i CTO firmy inFakt. – Od lat zapewniamy najwyższe standardy bezpieczeństwa – jako jedni z pierwszych w branży wprowadziliśmy weryfikację dwuetapową, dane przechowujemy na serwerach światowych gigantów, a od kilku lat regularnie przeprowadzamy testy penetracyjne, którymi w Polsce może pochwalić się jedynie kilka procent firm działających w sieci. Start programu Bug Bounty jest kontynuacją obietnicy, że inFakt oferuje najwyższy, światowy poziom bezpieczeństwa danych.
Program Bug Bounty został uruchomiony przez inFakt 8 listopada. Więcej informacji o programie oraz jak zgłosić błąd, można znaleźć pod adresem: https://www.infakt.pl/bugbounty/
Giganci też płacą za wykrycie błędów
Podobne programy realizowały na polskim rynku takie marki jak: Pyszne.pl, platforma Shoper czy Allegro. Inicjatywy typu „Bug Bounty” są również bardzo popularne zagranicą. Wdrażały je np. Facebook, Google, Tesla czy nawet Pentagon, który dzięki programowi dowiedział się o krytycznej podatności w Departamencie Obrony.