by @adsec2s

🧐 Все ли OK: bug bounty для «Одноклассников»

Социальная и развлекательная платформа «Одноклассники» входит в топ-50 самых посещаемых сайтов в мире. Во II квартале 2022 года среднее число ее уникальных пользователей в России составило 37 млн человек в месяц, а количество новых регистраций выросло на 35%.

Безопасность данных пользователей OK считает своей приоритетной задачей. Чтобы испытать защиту платформы и выявить ее слабые места, в августе на The Standoff 365 была запущена программа bug bounty для «Одноклассников». За обнаружение критической уязвимости в OK исследователи могут получить от 300 тысяч до 600 тысяч рублей.

👨‍💻 Скоуп для поиска уязвимостей включает мобильные приложения «Одноклассников» и ТамТам, домены ok.ru, tamtam.chat и ряд других.

Все подробности и условия программы размещены на ее странице → https://bb.standoff365.com/programs/odnoklassniki_vk

VK удваивает выплаты: bug bounty для ТАРМ

Во II квартале 2022 года госучреждения вновь стали лидерами в списке жертв хакеров. В половине случаев кибератаки приводили к нарушениям основной деятельности.

Проблема кибербезопасности работы госслужащих в этих условиях стоит особенно остро 👀

Именно поэтому VK решила удвоить выплаты за обнаруженные критические уязвимости в проекте ТАРМ.

TAPM (Типовое Автоматизированное Рабочее Место) — это набор коммуникационных сервисов на базе программных продуктов VK для госслужащих. Единое приложение объединяет мессенджер, электронную почту, календарь.

Суммы наград за выявление критической уязвимости в ТАРМ теперь варьируются от 1,2 млн до 1,8 млн рублей.

Скоуп и правила приема уязвимостей можно посмотреть на сайте программы: https://bb.standoff365.com/programs/tarm_vk

❗️Для доступа в систему писать на почту info@bb.armgs.team

Безопасный шопинг: bug bounty для Азбуки вкуса

В мае Азбука вкуса в числе первых компаний запустила программу bug bounty на платформе The Standoff 365, чтобы повысить безопасность своих сервисов и услуг.

💰 Сумма вознаграждения: от 10 до 100 тысяч рублей.

Скоуп для поиска уязвимостей:

👀 домены av.ru, azbukavkusa.ru и их поддомены;

👀👀 сервисы, доступные в беспроводных сетях компании и сами беспроводные сети, принадлежащие компании «Азбука вкуса».

Все подробности и условия программы размещены на ее странице → https://bugbounty.standoff365.com/programs/av

Смотрите 72 выпуск «SecLab NEWS» с Александром Антиповым, главредом Securitylab.ru, и узнайте о самых важных и интересных событиях в мире кибербезопасности.

🔸 Впервые в истории кибератака привела к разрыву дипломатических отношений! Албания обвинила Иран в атаке на свои госсервисы и потребовала от дипломатов исламской республики покинуть страну.

🔸 Искусственный интеллект помогает собирать налоги. Во Франции с помощью ИИ обнаружили свыше 20 тысяч незадекларированных бассейнов и пополнили казну на 10 млн евро.

🔸 В Японии ученые превратили таракана в спасателя-киборга, в Китае новая волна COVID-19 вновь угрожает цепочкам поставок технологий, а в России планируют создать отечественный движок для видеоигр.

Смотреть выпуск: https://youtu.be/WOp3R9E5VFA

PS: Участвуйте в наших конкурсах и выигрывайте призы — мерч от PHDays, подарочные сертификаты Ozon и Flipper Zero

Rambler&Co запустил программу bug bounty на платформе The Standoff 365

📺 В первом квартале этого года медиаиндустрия впервые вошла в пятерку самых атакуемых отраслей. При этом доля кибератак на веб-ресурсы продолжает расти (в первом квартале 2022 года она составила 22% относительно 13% в предыдущем квартале).

В такой ситуации программа bug bounty становится стандартом для крупных технологических и медиакомпаний, так как позволяет обеспечить непрерывный анализ защищенности сервисов силами независимых исследователей безопасности, при этом сохраняя высокую экономическую эффективность.

22 сентября Rambler&Co запустил публичную программу по поиску уязвимостей на платформе The Standoff 365 Bug Bounty, разработанной Positive Technologies.

🔍 Исследователям предлагается протестировать 10 наиболее важных и популярных сервисов медиахолдинга, среди которых сайты изданий «Лента.ру», «Газета.Ru», «Чемпионат», портал «Рамблер», «Рамблер/новости», «Рамблер/почта» и другие.

Таким образом холдинг планирует вывести защищенность своих проектов на новый уровень. Суммы вознаграждений за найденную уязвимость — от 2000 до 100 000 рублей (в зависимости от уровня критичности).

👀 Начать искать уязвимости можно прямо сейчас на сайте

Как выявить 95% атак, зная 5% техник

Так ли трудно детектировать сложные угрозы? Исследователи безопасности постоянно сообщают о появлении в атаках новых техник. Злоумышленники не ограничиваются одной или двумя техниками, а применяют комбинацию разных методов. Благодаря этому расширяются и возможности защитников в обнаружении атак.

На PHDays 11 Олег Скулкин, руководитель Лаборатории цифровой криминалистики и исследования вредоносного кода (Group-IB), проанализировал на основе реальных сценариев атак 10 самых популярных техник, которыми пользуются почти все злоумышленники разного уровня квалификации.

«В каждой атаке есть определенный набор техник, которые абсолютно легко детектируются. Мы можем это использовать даже в том случае, если у нас нет покрытия, есть антивирус, файрвол, и больше ничего нет. Даже на основе таких данных мы можем определить, есть ли у нас какие-то индикаторы компрометации или нет», — рассказал эксперт.

👀 Смотрите полный доклад на YouTube
🦻 Слушайте его в нашем подкасте

Защитники ВКонтакте: bug bounty для VK

🧑‍💻 Во втором квартале 2022 года среднее число уникальных пользователей крупнейшей отечественной соцсети ВКонтакте превысило 75 млн человек в месяц, а ее ежемесячный охват достиг 83% всей аудитории Рунета. ВКонтакте — это еще и популярная контентная платформа: количество ежедневных просмотров «VK Видео» в тот же период выросло до 2,35 млрд.

Компания VK — один из пионеров bug bounty в России: с 2013 года она получила от белых хакеров более 15 тыс. отчетов и выплатила им 2,5 млн долларов.

В августе 2022-го в числе 11 программ bug bounty от VK на The Standoff 365 была запущена и программа для ВКонтакте. За выявление критически опасной уязвимости в ее сервисах исследователи могут получить от 900 тыс до 1,8 млн рублей.

Скоуп для поиска уязвимостей: мобильные приложения VK, официальные сообщества приложений, домены и поддомены vk.com и ряд других систем.

Все подробности и условия на странице программы → https://bb.standoff365.com/programs/vkontakte_vk

Смотрите 73-й выпуск SecLab NEWS с Александром Антиповым, главредом SecurityLab.ru, и узнайте о самых важных и интересных событиях в мире кибербезопасности.

🔸 Пользователь под ником teapotuberhacker разместил в сети более 90 геймплейных видеороликов следующей части Grand Theft Auto. Ролики широко распространились на YouTube и в социальных сетях, но по запросу Take-Two Interactive большинство из них были удалены из-за нарушения авторских прав.

🔸 Киберпреступники используют смерть королевы Елизаветы II в своих целях. В фишинговых письмах они выдают себя за Microsoft и приглашают пользователей присоединиться к умной интерактивной доске памяти, посвященной Елизавете II.

🔸 Хакер под псевдонимом CTurt рассказал про «практически неустранимую» уязвимость в безопасности приставок PlayStation 4 и PlayStation 5. С помощью нее он смог запустить на PS5 пиратские версии старых игр.

Посмотреть выпуск: https://youtu.be/zIVzeNu3Gv4

Программа по удвоенным выплатам за найденные уязвимости в проекте ТАРМ от VK завершена. Суммы наград вернулись к прежнему объему. Подробнее о результатах мы расскажем на следующей неделе 👀

Скоуп и правила приема уязвимостей можно посмотреть на сайте программы: https://bb.standoff365.com/programs/tarm_vk

🎮 Игра началась: bug bounty для VK Play

VK Play — российская площадка для любителей игр, разработчиков и авторов контента. Она объединяет в себе стриминг, киберспорт, место для общения с единомышленниками, каталог игр и облачный гейминг. Это единая точка доступа к игровому контенту, включая 12 тысяч браузерных игр.

🛡 Чтобы защитить пользователей своей игровой площадки, компания VK запустила 28 сентября на платформе The Standoff 365 программу bug bounty для VK Play. Это особенно важно в условиях, когда доля атак на веб-ресурсы компаний продолжает расти: во II квартале 2022 года она увеличилась еще на 6 п. п. — до 28% от всех атак на организации.

За обнаружение критической уязвимости на VK Play исследователи могут получить от 600 тыс. до 900 тыс. рублей.

👀 Все подробности и условия программы размещены на ее странице: https://bugbounty.standoff365.com/programs/vkplay_vk

Багхантинг приложений: с чего начать

📱 Приложения становятся все сложнее, а риск эксплуатации их уязвимостей хакерами — все выше. В рамках программ bug bounty можно привлекать большое число исследователей безопасности, чтобы с их помощью успешно выявлять и исправлять уязвимости до того, как ими воспользуются злоумышленники.

Как следствие, растущая заинтересованность компаний в таких специалистах и в результативной кибербезопасности делает профессию багхантера все более популярной и востребованной.

📄 Существует немало полезных материалов для охотников за уязвимостями. Мы подготовили свой увлекательный гайд, который будет интересен не только начинающим, но и опытным багхантерам. В нем мы подробно прошлись по теме bug bounty и рассказали о том, как прокачаться в багхантинге мобильных и веб-приложений.

Читайте первую статью из этого цикла на Хабре.

На Standoff 365 Bug Bounty появляется все больше программ. Как начать багхантить и зарабатывать деньги?

👆Начните с правильного ПО. Например, с BurpSuite. Многие багхантеры считают его одним из лучших инструментов для тестирования веб-приложений на безопасность.

Вот лишь немногое из того, что он включает:
* Proxy — перехватывающий веб-прокси, который служит посредником между браузером и веб-приложением.
* Intruder — инструмент, который может использоваться исследователем для проведения автоматизированных и настраиваемых атак.
* Repeater — инструмент для ручной обработки и повторной отправки запросов, а также анализа ответов от приложения.
* Decoder — инструмент для выполнения ручного или интеллектуального кодирования и декодирования данных приложения.
* Extender — инструмент, позволяющий исследователю загружать свои и сторонние расширения Burp.

😎 Больше о том, как начать заниматься багхантингом веб-приложений — в статье на Хабре.

⚡️ Standoff пройдет уже в ноябре

Мы определились с датами юбилейного, десятого по счету Standoff: 22–24 ноября белые хакеры и специалисты по информационной безопасности вновь соберутся на открытой кибербитве.

Что будет 

📌 Три дня принципиального противостояния красных и синих за инфраструктуру Государства F.

📌 Митап Standoff Talks, где можно обменяться опытом с offensive и defensive специалистами, поделиться успешными находками и открытиями.

📌 Выступления экспертов из мира ИБ и встречи с представителями государства и бизнеса. 

📌 Инвестиционная сессия, где мы обсудим влияние хакерской активности на привлекательность отрасли и перспективы вложений в сферы IT и кибербезопасности.

Наблюдать за происходящим можно будет в онлайн-трансляции на сайте standoff365.com

👀 А о том, как попасть на площадку и увидеть все это своими глазами, мы расскажем немного позже. Следите за новостями!

☎️ Открыли приём заявок на митап Standoff Talks

22 ноября мы проведём второй митап Standoff Talks для энтузиастов и профессионалов offensive и defensive security. Зовём всех поделиться с сообществом своим опытом, и открываем для вас Call for Papers: cfp.standoff365.com

Тематика докладов не изменилась:
🔹 технические доклады от специалистов в {off,def}ensive security;
🔹 bug bounty находки от хакеров и опыт проведения bb от компаний;
🔹 опыт участия в кибербитве и на онлайн-киберполигоне Standoff 365.

Митап пройдёт в уютном пространстве Grand Ballroom в Москве. Регистрацию слушателей запустим в начале ноября. Ждём ваши мощные доклады 👉 cfp.standoff365.com

Заявки на CFP принимаем до 5 ноября 📥

⚡️ Три миллиона рублей выплатила VK исследователям безопасности на платформе Standoff 365 Bug Bounty

За три месяца работы VK получила 300 отчетов, более половины сообщений признаны существенными, выявленные на их основе уязвимости устранены.

🔥 Вознаграждение получили более 50 исследователей. Размер выплат составил от 3 до 750 тысяч рублей в зависимости от критичности уязвимости.

На Standoff 365 Bug Bounty размещено 20 сервисов VK, среди которых — ВКонтакте, Одноклассники, Skillbox. Компания планирует увеличить количество проектов на платформе более чем на 20%.

👌 Чемпионаты VK и My Target уже на платформе

All Cups — технологическая платформа VK для проведения онлайн-соревнований, чемпионатов и олимпиад.
🔸 В скоупе все домены, созданные для соревнований VK, *.gamescup.ru, *.cups.online
(кроме партнёрских или делегированных/размещённых на внешних ресурсах)

myTarget — платформа для размещения рекламы в соцсетях ВКонтакте, Одноклассники, и на других проектах компании VK.
🔸 *.target.my.com и *.ads.vk.com
(кроме партнёрских или делегированных/размещённых на внешних ресурсах)

🛒 Максимальная награда за уязвимости — 180 000 ₽ (в зависимости от уровня угрозы).

👀 Искать уязвимости в VK ↓
bugbounty.standoff365.com/vendors/vk

«Лента.ру», «Газета.Ru», «Чемпионат»

Что общего у этих ресурсов? Все они участвуют в программе bug bounty от Rambler&Co на The Standoff 365 😎

Скоуп и другие подробности — на странице программы.

⚡️ Самые критичные уязвимости могут принести 100 000 рублей.

Что интересно, у Rambler&Co уже был опыт подобной программы в закрытом режиме. Обкатав процесс с участием ограниченного числа исследователей, компания решилась сделать bug bounty открытой, чтобы привлечь как можно больше ИБ-специалистов и эффективнее защитить свои сервисы и десятки миллионов их пользователей.

👨‍🦳 Секреты и истории бывалого багхантера 

Хотите узнать больше о способах поиска поддоменов, нестандартных векторах и методах поиска уязвимостей?

Исследователь безопасности Юрий Ряднина aka circuit на VolgaCTF 2022 рассказал обо всем этом, а также поделился полезными советами и увлекательными историями из жизни опытного багхантера.
 
🔥 Увидеть полное выступление Юрия можно на YouTube.

А если у вас есть своя крутая тема и вы хотите поделиться ею — приходите на Standoff Talks. Прием заявок для спикеров уже открыт >> cfp.standoff365.com

🧑‍💻 Стажировка в Positive Technologies. Часть II

В условиях многократного роста числа кибератак необходимы новые компетентные и квалифицированные кадры для Security Operations Center (SOC). Обучение и поддержка начинающих специалистов так же важны, как и вклад в развитие продуктов и улучшение экспертизы.

Мы уже рассказывали о масштабной стажировке, которая прошла с 7 февраля по 6 июня этого года в экспертном центре безопасности Positive Technologies (PT Expert Security Center). Чтобы познакомить ее участников не только с рутинными кейсами внутри сети, но и с реальной хакерской активностью, в финальную часть стажировки было включено участие в кибербитве Standoff.

В новом материале вас ждет рассказ про план и формат работы на битве, разбор пары кейсов из отчетов участников и их собственные отзывы. А еще мы попробуем ответить на главный вопрос: насколько специалисты без практического опыта реально способны обнаружить и расследовать действия настоящих злоумышленников.

👀 Подробнее об этом читайте в статье на Хабре

#PositiveTechnologies