omniture

東南アジアのeコマースプラットフォームLazadaがYesWeHackを使って公開バグ報奨金プログラムを開始

Lazada Group
2021-06-11 16:34 1664

【シンガポール2021年6月11日PR Newswire=共同通信JBN】

*個人データの脆弱性を重視するLazadaは倫理的ハッカーに最高1万米ドルを支払う

東南アジアの有力eコマースプラットフォームLazadaは、1年半のプライベートプログラム実施に成功したのち、脆弱性を見つけ出すYesWeHackと提携して公開バグ報奨金プログラムの開始を発表した。Lazadaは2020年1月から、倫理的ハッカーと協力して、プライベートバグ報奨金プログラムの一環として同社のIT環境のセキュリティーの脆弱性を検知してきたが、今後は、このプログラムをサイバーセキュリティーコミュニティー全体に広げる。

東南アジアのeコマースプラットフォームLazadaがYesWeHackを使って公開バグ報奨金プログラムを開始
東南アジアのeコマースプラットフォームLazadaがYesWeHackを使って公開バグ報奨金プログラムを開始

 

今回の公開バグ報奨金プログラムの開始に伴い、Lazadaはeコマース業界に声明を発表し、報奨金として最大1万米ドルをセキュリティーリサーチャーに提供することで、同社の顧客およびパートナーのセキュリティーと透明性を優先することを強調している。

▽顧客データの保護が最優先事項

シンガポールを本拠とする2012年創業のLazadaは、東南アジアの有力なeコマースプラットフォームの1つであり、2016年にアリババグループに買収された。同社は、インドネシア、マレーシア、フィリピン、シンガポール、タイ、ベトナムで事業展開し、1万8000のブランドを擁する同地域最大のバーチャルモールLazMallに加え、物流、小売テクノロジー、決済サービスのソリューションも提供している。

Lazadaはプライベートバグ報奨金プログラムを開始して以来、100人を超える倫理的ハッカーと協力して脆弱性をあぶり出し、セキュリティーリサーチャーに15万米ドル以上の報奨金を授与してきた。これには、YesWeHackコミュニティーのハッカーが48時間で脆弱性を見つけ出す公開プログラムのための準備イベントも含まれている。

Lazada GroupのAlan Chanチーフ・リスク・オフィサーは「データと個人情報の重要性を考慮し、Lazadaは当社の顧客を保護することに細心の注意を払い、これらの脆弱性にパッチをあて、安全なショッピングプラットフォームを実現することに努めてきた。データセキュリティーの性質は日進月歩であり、テクノロジーを悪用してデータセキュリティーを盗もうとするハッカーの性質は攻撃的になっているため、われわれのITエコシステムを強化するためにより大きなサイバーセキュリティーコミュニティーと協力する必要があると考えている」と語り、さらに「YesWeHackとの協力を開始して以来、同じ種類の脆弱性再発を防ぐため、われわれはSecure Software Development Processを強化して当社のセキュリティーを改善した。当社のセキュリティー監視が脆弱性の悪用を捕えることができることをさまざまなリサーチャーと検証するのは有益である」と述べた。

▽重大な脆弱性の報告には最大1万米ドルの報奨金

Lazadaは、これまでプライベートプログラムでテストしてきた分野を公開プログラムに移行することによって、同社の顧客に透明性とセキュリティーを提供するために追加の措置を講じている。世界中のサイバーセキュリティーリサーチャーはこのプログラムに参加し、eコマースプラットフォームに脆弱性を報告することができる。

さらに、個人データに影響を与え、「高い」ないしは「重大な」セキュリティーレベルとなる脆弱性に特別の注意を払う。重大な脆弱性に関し提出された報告に対し、Lazadaは1万米ドルをセキュリティーリサーチャーに支払う。公開報奨金プログラムに関する詳細な情報はウェブサイトhttps://yeswehack.com/programs/lazada を参照。

Lazadaのサイバー防衛担当ヘッドのFrank Vervial氏は「この最新のバグ報奨金プログラムを開始することで、われわれは当社が保有するデータの重要性を大切にしているとの明確なメッセージを全員に送っている。YesWeHackコミュニティーの専門知見を信じており、新しい攻撃方法を見つけ出し、これに対処するために倫理的ハッカーと協力できることを大変うれしく思う。これは、脆弱性に対して当社のデータを保護し、当社の社員を保護し、顧客を保護することが目的である」と語った。

YesWeHackのAPACマネジングディレクターであるKevin Gallerin氏は「YesWeHackはLazadaと提携し、アジアでの当社の市場を拡大できることをうれしく思うとともに、Lazadaのeコマースプラットフォームおよびその顧客が高度化を増すサイバー脅威に対して保護されることを保証する。18カ月以上のコラボレーションを経て公開プログラムに移行し、この間、リサーチャーのグローバルコミュニティーはその有効性と広範囲のスキルを実証した。より広範なコミュニティーに働きかけることによって、Lazadaはそのセキュリティーを強化し、透明性、データプライバシー、保護を強化することになる。その結果、APACの数百万のユーザーの信頼と経験を構築・維持することになる」と語った。

▽Lazada Groupについて

2012年創業のLazada Groupは、東南アジアの有力なeコマースプラットフォームである。

同社はコマースおよびテクノロジーを通じて、インドネシア、マレーシア、フィリピン、シンガポール、タイ、ベトナムでの成長を加速している。同地域の最大の物流および決済ネットワークによって、Lazadaは地域の消費者の日常生活の一部になっており、われわれは2030年までに3億人の顧客にサービスを提供できることを目指している。2016年からLazadaは、世界クラスのテクノロジーインフラストラクチャーによって支援されるアリババグループの東南アジアの主力プラットフォームになった。

▽YesWeHackについて

2015年創設のYesWeHackは、グローバルなバグ報奨金およびVDPプラットフォームである。

YesWeHackはバグ報奨金(発見された脆弱性ごとの支払)を使ってサイバーセキュリティーに革新的なアプローチを企業に提供し、170カ国の2万5000人以上のサイバーセキュリティー専門家(倫理的ハッカー)を組織と結び付け、企業のウェブサイト、モバイルアプリ、インフラストラクチャー、コネクテッドデバイスの危険にさらされた領域を保護し、脆弱性を報告する。

YesWeHackは、世界の数百の組織のためにプライベート(招待者限定)プログラムと公開プログラムを最も厳格な欧州規制に従って運営している。

バグ報奨金プラットフォームに加え、YesWeHackは脆弱性開示ポリシー(VDP)、Dojoと呼ばれる倫理的ハッカー向けの学習プラットフォーム、教育機関向けのトレーニングプラットフォームYesWeHackEDUを提供している。詳細はウェブサイトwww.yeswehack.com を参照。

ソース: Lazada Group