COMFY стала одной из первых украинских розничных сетей, которая на практике поддержала нравственный хакинг. Компания официально выплатила 200 000 гривен белому хакеру Вадиму Савченко за выявление критической уязвимости в системе бонусных начислений интернет-магазина.
Савченко направил сообщение о проблеме через контакт-центр. Речь шла о вероятности многократного получения бонусов в рамках маркетинговой кампании, что создавало угрозу неконтролируемому накоплению средств на бонусном счете.
После технического анализа COMFY подтвердила наличие уязвимости, оценила возможные финансовые последствия в случае злоупотреблений и оперативно устранила проблему. Ситуация выявила недостатки в существующей системе мониторинга, что, в свою очередь, показало необходимость усовершенствования внутреннего контроля.
Решение о выплате вознаграждения в 200 000 гривен было принято в качестве благодарности за ответственное сообщение. Это стал первым примером такого рода для COMFY и одним из немногих публичных кейсов выплаты в рамках программы bug bounty среди украинских ритейлеров. Вадим Савченко, имеющий профессиональный опыт в области ИТ и кибербезопасности, пояснил, что считает важным содействие безопасности бизнеса во время войны, и именно поэтому немедленно обратился в компанию после обнаружения недостатков.
Напомним, в 2018 году COMFY публично заявила о поддержке нравственного хакинга, разместив на своем сервере специальный файл-приглашение для исследователей безопасности и указав каналы для ответственного раскрытия уязвимостей. Нынешний случай стал логическим продолжением этой инициативы.
