COMFY стала однією з перших українських роздрібних мереж, яка на практиці підтримала етичний хакінг. Компанія офіційно виплатила 200 000 гривень білому хакеру Вадиму Савченку за виявлення критичної вразливості в системі бонусних нарахувань інтернет-магазину.
Савченко надіслав повідомлення про проблему через контакт-центр. Йшлося про ймовірність багаторазового отримання бонусів у межах маркетингової кампанії, що створювало загрозу неконтрольованого накопичення коштів на бонусному рахунку.
Після технічного аналізу COMFY підтвердила наявність вразливості, оцінила можливі фінансові наслідки в разі зловживань і оперативно усунула проблему. Ситуація виявила недоліки в існуючій системі моніторингу, що, своєю чергою, засвідчило необхідність вдосконалення внутрішнього контролю.
Рішення про виплату винагороди у 200 000 гривень було ухвалено як подяка за відповідальне повідомлення. Це став перший приклад такого роду для COMFY й один із небагатьох публічних кейсів виплати в межах програми bug bounty серед українських ритейлерів. Вадим Савченко, який має професійний досвід у галузі ІТ та кібербезпеки, пояснив, що вважає важливим сприяти безпеці бізнесу під час війни, і саме тому негайно звернувся до компанії після виявлення недоліків.
Нагадаємо, у 2018 році COMFY публічно заявила про підтримку етичного хакінгу, розмістивши на своєму сервері спеціальний файл-запрошення для дослідників безпеки та вказавши канали для відповідального розкриття вразливостей. Поточний випадок став логічним продовженням цієї ініціативи.
