«Тинькофф банк» решил платить хакерам после раскрытия уязвимостей в системе

«Тинькофф банк» планирует запуск программы по выплатам, которые будут осуществляться за обнаружение на сайте и в системах банка уязвимостей. Такое решение финкомпания приняла в связи с тем, что пользователем «Хабрахабра» была опубликована информация про способ, который поможет узнать количество средств на любом счету банка, с помощью номера его карты.

11 августа пользователем «Хабрахабра» была оглашена информация, что при помощи недоработок в системе переводов средств, на сайте «Тинькофф банка» имеется возможность определения баланса какой-угодно карты, выпущенной данной компанией. При этом, необходимо знать лишь её номер. В течение нескольких часов, как результат публикации, компанией «Тинькофф банк» произвелось устранение ошибки.

С того момента, компания приняла решение об официальном запуске программы Bug Bounty, предусматривающей выплаты для хакеров, которые способствуют нахождению уязвимостей в финсистемах компании. После передачи информации в организацию об имеющихся ошибках, без публичной огласки, хакер получает оплату.

«Не существует абсолютно идеальных технологий. Даже самые опытные тестировщики могут не заметить ошибку. К сожалению, часто это приводит к «мертвым зонам». Безопасность сервисов и данных клиентов компании является приоритетом для нас. Поэтому мы с удовольствием будем применять знания и навыки специалистов в сфере безопасности, тем более, что так сейчас поступают даже самые крупные мировые ИТ-компании», — сообщило руководство «Тинькофф банк».

Объемы выплат будут связаны с критичностью уязвимости, а также того, в каком сервисе её удастся обнаружить. «На данный момент нами разрабатываются специальные критерии, тем не менее, пока что сумма выплат будет варьироваться от нескольких тысяч до нескольких сотен тысяч рублей», — проинформировали в компании.

Представителями банка также было добавлено, что до этого им уже приходилось сотрудничать с «белыми» хакерами, но в этот раз было принято решение о запуске публичной программы.

Специально для mmgp.ru

тинькоф снова первый среди банков, который догадался как бы на халяву подлатать свои бреши в системе, возможно сами не могут найти и решили как бы нанимать со стороны более опытных программистов))

«Не существует абсолютно идеальных технологий. Даже самые опытные тестировщики могут не заметить ошибку. К сожалению, часто это приводит к «мертвым зонам». Безопасность сервисов и данных клиентов компании является приоритетом.

Вполне принята практика многих известных компаний и мировых брендов. От такого сотрудничества банк только будет в плюсе. Нужно брать другим банкам с него пример.

С экономической точки зрения это тоже хороший выход экономить на програмистах, можно сказать оплату проводят по факту

Да, только у людей есть заинтересованность найти уязвимость и они получают оплату за конкретные уязвимые места. А программисты будут просматривать всю систему, ее анализировать, потом непонятно дорабатывать и все равно хакер найдет уязвимость.

Это возможно, если хакер по чистой случайности нашел эту брешь. Неужели он будет целенаправленно шерстеть все слабые места с целью найти недоработку?)

Конечно, если за это будут платить вознаграждение. Почему бы и нет? Захотел поработать, нашел уязвимость, испробовал ее и получил за это вознаграждение.

Молодцы. Тестирование режима в реальном времени, при этом за вознаграждение. Как когда-то сделали бетон-мани, примерно также. Только Тинькофф при этом будет еще и работать.

Да, но если рассматривать с точки зрения заработка, то им выгоднее работать на западные компании, там вознаграждение-то поболее будет.
Тем более очень мало благородных (белых) хакеров. В основном, все свои умения они не в том русле используют.

А что интересно будет тем программистам, которые не до следили-не до делали? Из их з\п премия хакерам?

Тут нужно говорить о стиле жизни самого хакера. Ему не зачем на кого-то работать, он может заработать и так, в любой момент, когда захочет и сколько захочет(в разумных пределах). Конечно, мало, так как можно заработать намного больше залив на сайт шелл и продав траффик оттуда, чем ловать голову и связываться с владельцем, просить вознаграждение и т.д.

Отличный шаг, чтобы убрать недочеты и ошибки!

Вполне все правильно, учитываю нынешнию угрозу со стороны хакеров

многие ли так согласятся, не спорю работники будут, но какие, качество все равно упадет.

Олег крутой бизнесмен, многие его выступления смотрел, очередная хорошая идея. Молодцы.

Тинькофф готовятся к скаму как хайпы и оставляют дыры для уязвимости, что бы потом разводить руками типо все хакнули проклятые амеровские хакеры!! Поржал, что банк и публичные торги с хакерами затеял!!

ахах, прочитал я конечно же эту новость и громко смеялся, неужели 90 года вернулись сейчас, праивльно если немогу нчего сделать и не могут обезопасить деньги лющей, то попросту будут отстегивать нарушителям, глупо!!