За що Comfy сплатила хакеру 200 тис. грн

Український ритейлер техніки та електроніки Comfy виплатив 200 000 грн білому хакеру Вадиму Савченку за відповідальне повідомлення про серйозну вразливість у системі бонусних нарахувань інтернет-магазину, повідомляє Comfy. Це перша в історії компанії офіційна bug bounty-виплата та один із небагатьох публічних кейсів в українському ритейлі.

Яка вразливість Comfy виявив Савченко?

Підписуйтеся на наші соцмережі

Савченко виявив можливість багаторазового нарахування бонусів у межах маркетингової акції та одразу звернувся до компанії через контакт-центр. Уразливість дозволяла користувачам накопичувати бонусні кошти у необмеженій кількості, що могло призвести до серйозних фінансових збитків.

Після внутрішньої перевірки й технічного тестування Comfy підтвердила наявність вразливості та оцінила ризики. Вразливість була оперативно усунута. Згідно з офіційною заявою компанії, системи моніторингу не виявили аномалії, що вказало на потребу вдосконалити процеси контролю.

Вадим Савченко має досвід роботи в ІТ та кібербезпеці. У спілкуванні з компанією він зазначив, що вважає захист цифрових сервісів важливим внеском у стабільність бізнесу, особливо під час війни.

Ще у 2018 році Comfy публічно заявила про відкритість до взаємодії з дослідниками безпеки, розмістивши на сервері спеціальний файл із запрошенням до відповідального розкриття вразливостей.