Український ритейлер техніки та електроніки COMFY здійснив офіційну виплату в розмірі 200 000 грн білому хакеру Вадиму Савченку. Він повідомив компанію про критичну вразливість у системі бонусних нарахувань інтернет-магазину, повідомила пресслужба ритейлера.
Йшлося про можливість багаторазового отримання бонусів у рамках маркетингової активності, що створювало ризик неконтрольованого накопичення коштів на бонусному рахунку.
Після перевірки та технічного тестування COMFY підтвердила наявність вразливості, оцінила потенційні збитки в разі зловживань і оперативно її усунула. Внутрішні системи моніторингу не фіксували аномалію, що виявило потребу у вдосконаленні процесів контролю.
Компанія ухвалила рішення про виплату 200 000 грн як винагороду за відповідальне розкриття. Це перший подібний кейс в історії COMFY та один із небагатьох публічних прикладів bug bounty-виплат в українському ритейлі.
Нагадаємо, що у 2018 році COMFY публічно підтримала рух етичного хакінгу: компанія розмістила на своєму сервері спеціальний файл-запрошення до взаємодії з дослідниками безпеки та визначила канали для відповідального розкриття вразливостей.
