🪲 Много ли вы знаете о багбаунти? Даже если да, все равно читайте дальше!

Собрали для вас несколько интересных фактов про Standoff Bug Bounty от руководителя платформы Анатолия Иванова.

1️⃣ У Standoff 365 есть собственная багбаунти-программа с вознаграждением до 1 млн рублей. Не стесняемся признаться, что один из исследователей обнаружил там критически опасный баг, заработав 450 000 рублей. А уязвимость мы устранили за рекордные два часа.

2️⃣ Если вы хотите стать багхантером, когда вырастете, — не ограничивайтесь поиском багов в вебе. Учитесь строить цепочки атак при помощи разных методов, в том числе социальной инженерии (это пригодится на киберучениях).

3️⃣ А если сами собираетесь выйти на багбаунти, учитывайте, что багхантерам интересен не только размер вознаграждения (из двух похожих программ они выберут ту, где за найденные уязвимости заплатят больше), но и новые области исследования и скоуп, где еще никто не искал баги.

Еще больше полезной информации — в интервью Анатолия для CISOCLUB.

#StandoffBugBounty
@Positive_Technologies

😃 Всем багхантерам приготовиться!

Rambler&Co запустил программу багбаунти в режиме АРТ на нашей платформе Standoff Bug Bounty. Белые хакеры могут попробовать реализовать одно из недопустимых для медиахолдинга событий и в случае успеха получить вознаграждение в 3 млн рублей.

Таких событий два:

1⃣ Выгрузка массива конфиденциальной информации (о договорах, контрагентах, объектах интеллектуальной собственности) и персональных данных работников и клиентов Rambler&Co — через получение привилегированного доступа к приложению «1С»).

2⃣ Вывод денег со счета компании на собственный счет. Исследователь должен сам инициировать транзакцию и провести ее через банк (для подтверждения реализации недопустимого события достаточно вывести 2000 рублей).

✅ Можно: использовать все ресурсы компании, которые удастся отыскать, отправлять сотрудникам фишинговые письма и применять другие творческие методы.

❌ Нельзя атаковать партнеров и пытаться взламывать розетки и прочие устройства для физического подключения.

На первом этапе программа действует в закрытом режиме. Для получения доступа пишите на [email protected].

«АРТ Bug Bounty — альтернатива red team и классическому пентесту, которая обеспечивает объективную оценку защищенности компании от киберугроз. Этот подход позволяет оценить существующую систему защиты в части ее эффективности и в кратчайшие сроки устранить уязвимости», — комментирует Алексей Новиков, управляющий директор Positive Technologies.

#StandoffBugBounty
@Positive_Technologies

😎 Платформа Standoff Bug Bounty внесена в единый реестр российского программного обеспечения.

Включение в реестр позволит большему числу госучреждений использовать площадку для повышения защищенности своей инфраструктуры от кибератак при помощи программ багбаунти.

Она отнесена к классу ПО «Средства автоматизации процессов информационной безопасности». Это подтверждает надежность платформы, факт разработки исключительно на территории России, а также независимость от иностранных компаний и зарубежного ПО.

😱 В 2024 году команда PT SWARM обнаружила в российском ПО почти в три раза больше уязвимостей, чем за год до этого, 20% из них — критически опасного уровня. Это может привести к реализации недопустимых событий в компаниях из разных отраслей. Самый современный способ устранения таких уязвимостей до того, как их обнаружат злоумышленники, — запуск программ багбаунти.

Теперь эта возможность на Standoff Bug Bounty доступна и для организаций, попадающих под действие Указа Президента России от 30.03.2022 № 166: с начала 2025 года запрещается использовать на значимых объектах критической инфраструктуры иностранное ПО.

«В некоторых случаях в рамках закупок государственные организации предъявляют требование подтвердить место происхождения программного обеспечения. Поэтому компания приняла решение внести Standoff Bug Bounty в единый реестр российского ПО. Этот шаг позволит расширить круг клиентов нашей платформы. В результате еще больше учреждений смогут привлечь тысячи специалистов по ИБ для поиска уязвимостей и обеспечить высокий уровень защищенности своей инфраструктуры», — отметила Юлия Воронова, директор по консалтингу центра компетенции Positive Technologies.

#StandoffBugBounty
@Positive_Technologies

😏 Не попробуете — не узнаете

Можно было бы сказать так о выходе на багбаунти, но к счастью, нам есть кого обо всем расспросить.

Доверили эту почетную миссию Алексею Лукацкому, который узнал у представителей компаний — пионеров на Standoff Bug Bounty, как они приняли решение разместить программы, что при этом учитывали, с какими новыми задачами столкнулись и как смогли их решить.

В гостях в нашей импровизированной студии побывали:

🔵Тимофей Черных, руководитель продуктовой безопасности Ozon
⚪️Александр Хамитов, руководитель продуктовой безопасности Wildberries
🔵Константин Ермаков, руководитель направлений проектной безопасности Rambler&Co
⚪️Станислав Громов, технический руководитель по ИБ hh․ru

Обсудили, почему программы багбаунти эффективнее аудитов и пентестов, поделились лайфхаками по работе с багхантерами (например, что делать с дублями и уязвимостями вне скоупа), подсчитали, какой бюджет нужен, и рассказали, из-за каких отчетов специалисты по кибербезопасности не спят по ночам.

Смотрите два получившихся интервью там, где вам удобно:

Ozon и Wildberries
📺 YouTube 📺 Rutube 📺 VK Видео

Rambler&Co и hh․ru
📺 YouTube 📺 Rutube 📺 VK Видео

#StandoffBugBounty
@Positive_Technologies

🤑 Говорят, что они могут за пару дней заработать на восемь айфонов, первичный взнос по ипотеке или 14 666 пачек «Доширака».

👾 Рассказывают, что стоит им только взглянуть на скоуп — и уязвимости в нем не просто находятся, но и сами пишут о себе отчеты, прикладывая к ним пруфы.

🙂 Болтают, что компании выстраиваются в очередь, лишь бы они выбрали конкретную багбаунти-программу.

Они — топ-3 рейтинга багхантеров платформы Standoff Bug Bounty: Олег Уланов aka brain, Рамазан Рамазанов aka r0hack и Сергей Бобров aka BlackFan.

Не знаем, как насчет ипотеки и сканирующего взгляда, но интервью у ребят точно берут — одно из них можно прочитать в Positive Research. Там исследователи безопасности делятся подробностями не всегда простой, но интересной багхантерской жизни, рассказывают, как выбирают программы, в которых интересно участвовать, с какими сложностями сталкиваются, и рассуждают о будущем багбаунти.

Интересно? Еще как! Читать всем.

#PositiveResearch #StandoffBugBounty
@Positive_Technologies

👀 Запуск первой программы багбаунти как первая любовь — прекрасная, волнующая и не всегда понятная

Чтобы она была взаимной разобраться во всем «на берегу», запускаем серию ламповых оффлайн-митапов Standoff Bug Bounty для заказчиков. Митапы будут проходить прямо у нас — в московском офисе Positive Technologies.

На них можно будет пообщаться с компаниями, у которых уже есть собственные программы, послушать о реальных кейсах, разобраться в форматах багбаунти, понять, какой из них больше всего вам подходит, и, конечно, лично задать экспертам все накопившиеся вопросы.

1️⃣ Первая встреча пройдет 27 марта и начнется в 17:00. Если хотите присоединиться, пишите на почту [email protected]: укажите свои ФИО (чтобы мы могли заказать пропуск), компанию и должность. Поторопитесь, заявки проходят модерацию, а количество мест ограничено.

Что планируем обсуждать:

👾 О личном опыте самых импактных находок на багбаунти расскажет Анатолий Иванов, CPO Standoff Bug Bounty.

🛡 Как багбаунти помогает компаниям выстраивать и улучшать процессы AppSec, поделится Светлана Газизова, директор по построению процессов DevSecOps в Positive Technologies.

🤍 Свой кейс автоматизации «обеления» трафика для багхантеров представит Илья Петров, руководитель отдела кибербезопасности веб-приложений в Okko.

🧮 Как перейти от метода «пальцем в небо» к объективной оценке уязвимостей в багбаунти, объяснит Петр Уваров, руководитель направления VK Bug Bounty.

🏢 Отдельно поговорим об опыте проведения программ багбаунти одним из владельцев государственных систем.

И конечно, оставим время для неформального общения! Ждем ваших писем и вас на митапе!

#StandoffBugBounty
@Positive_Technologies

🛡 Она возвращается: Минцифры объявило о старте третьего этапа программы по поиску уязвимостей на Standoff Bug Bounty

Увеличение количества пользователей и нагрузки на цифровые сервисы ведомства требуют постоянного мониторинга безопасности и поиска уязвимостей.

В новом этапе программы багбаунти тысячи багхантеров нашей платформы проверят защищенность ключевых ресурсов Минцифры, где хранятся данные более 112 млн пользователей.

Исследователям будут доступны десятки доменов, IP-адресов и мобильных приложений. Среди них — сразу несколько систем электронного правительства: единая система идентификации и аутентификации (ЕСИА), Единая биометрическая система (ЕБС), единая система межведомственного электронного взаимодействия (СМЭВ), национальная система управления данными, Единая система нормативной справочной информации и другие ресурсы.

💵 Максимальная награда за выявление уязвимости критического уровня опасности — 1 млн рублей.

Ранее, на первых двух этапах программ багбаунти, более 26 тысяч багхантеров приняли участие в поиске багов на Госуслугах, в СМЭВ, платформе обратной связи и других государственных сервисах. Привлечение к исследованию защищенности экспертов по ИБ с разными подходами и навыками дает возможность выявлять уязвимости практически всеми возможными способами, обеспечивая защиту от реальных кибератак.

👀 Подробности ищите в новости на нашем сайте и в программах Минцифры на Standoff Bug Bounty.

#StandoffBugBounty
@Positive_Technologies