Смотрите 73-й выпуск SecLab NEWS с Александром Антиповым, главредом SecurityLab.ru, и узнайте о самых важных и интересных событиях в мире кибербезопасности.
🔸 Пользователь под ником teapotuberhacker разместил в сети более 90 геймплейных видеороликов следующей части Grand Theft Auto. Ролики широко распространились на YouTube и в социальных сетях, но по запросу Take-Two Interactive большинство из них были удалены из-за нарушения авторских прав.
🔸 Киберпреступники используют смерть королевы Елизаветы II в своих целях. В фишинговых письмах они выдают себя за Microsoft и приглашают пользователей присоединиться к умной интерактивной доске памяти, посвященной Елизавете II.
🔸 Хакер под псевдонимом CTurt рассказал про «практически неустранимую» уязвимость в безопасности приставок PlayStation 4 и PlayStation 5. С помощью нее он смог запустить на PS5 пиратские версии старых игр.
Посмотреть выпуск: https://youtu.be/zIVzeNu3Gv4
🔸 Пользователь под ником teapotuberhacker разместил в сети более 90 геймплейных видеороликов следующей части Grand Theft Auto. Ролики широко распространились на YouTube и в социальных сетях, но по запросу Take-Two Interactive большинство из них были удалены из-за нарушения авторских прав.
🔸 Киберпреступники используют смерть королевы Елизаветы II в своих целях. В фишинговых письмах они выдают себя за Microsoft и приглашают пользователей присоединиться к умной интерактивной доске памяти, посвященной Елизавете II.
🔸 Хакер под псевдонимом CTurt рассказал про «практически неустранимую» уязвимость в безопасности приставок PlayStation 4 и PlayStation 5. С помощью нее он смог запустить на PS5 пиратские версии старых игр.
Посмотреть выпуск: https://youtu.be/zIVzeNu3Gv4
YouTube
Неустранимая уязвимость в PlayStation 5. Слив геймплейных видеороликов GTA 6. SecLab News #73 | 12+
Хакеры-абьюзеры: мучают, а потом взламывают. Как злоумышленники пользуются смертью Елизаветы II? Уволенный сотрудник Twitter рассказал всю правду о компании. Игровую консоль PlayStation 5 взломали олдовыми играми. В сеть утекли геймплейные ролики неизданной…
👍1
Программа по удвоенным выплатам за найденные уязвимости в проекте ТАРМ от VK завершена. Суммы наград вернулись к прежнему объему. Подробнее о результатах мы расскажем на следующей неделе 👀
Скоуп и правила приема уязвимостей можно посмотреть на сайте программы: https://bb.standoff365.com/programs/tarm_vk
Скоуп и правила приема уязвимостей можно посмотреть на сайте программы: https://bb.standoff365.com/programs/tarm_vk
Telegram
THE STANDOFF NEWS
VK удваивает выплаты: bug bounty для ТАРМ
Во II квартале 2022 года госучреждения вновь стали лидерами в списке жертв хакеров. В половине случаев кибератаки приводили к нарушениям основной деятельности.
Проблема кибербезопасности работы госслужащих в этих…
Во II квартале 2022 года госучреждения вновь стали лидерами в списке жертв хакеров. В половине случаев кибератаки приводили к нарушениям основной деятельности.
Проблема кибербезопасности работы госслужащих в этих…
🐳3👍1
🎮 Игра началась: bug bounty для VK Play
VK Play — российская площадка для любителей игр, разработчиков и авторов контента. Она объединяет в себе стриминг, киберспорт, место для общения с единомышленниками, каталог игр и облачный гейминг. Это единая точка доступа к игровому контенту, включая 12 тысяч браузерных игр.
🛡 Чтобы защитить пользователей своей игровой площадки, компания VK запустила 28 сентября на платформе The Standoff 365 программу bug bounty для VK Play. Это особенно важно в условиях, когда доля атак на веб-ресурсы компаний продолжает расти: во II квартале 2022 года она увеличилась еще на 6 п. п. — до 28% от всех атак на организации.
За обнаружение критической уязвимости на VK Play исследователи могут получить от 600 тыс. до 900 тыс. рублей.
👀 Все подробности и условия программы размещены на ее странице: https://bugbounty.standoff365.com/programs/vkplay_vk
VK Play — российская площадка для любителей игр, разработчиков и авторов контента. Она объединяет в себе стриминг, киберспорт, место для общения с единомышленниками, каталог игр и облачный гейминг. Это единая точка доступа к игровому контенту, включая 12 тысяч браузерных игр.
🛡 Чтобы защитить пользователей своей игровой площадки, компания VK запустила 28 сентября на платформе The Standoff 365 программу bug bounty для VK Play. Это особенно важно в условиях, когда доля атак на веб-ресурсы компаний продолжает расти: во II квартале 2022 года она увеличилась еще на 6 п. п. — до 28% от всех атак на организации.
За обнаружение критической уязвимости на VK Play исследователи могут получить от 600 тыс. до 900 тыс. рублей.
👀 Все подробности и условия программы размещены на ее странице: https://bugbounty.standoff365.com/programs/vkplay_vk
👍8👎3🔥1
Багхантинг приложений: с чего начать
📱 Приложения становятся все сложнее, а риск эксплуатации их уязвимостей хакерами — все выше. В рамках программ bug bounty можно привлекать большое число исследователей безопасности, чтобы с их помощью успешно выявлять и исправлять уязвимости до того, как ими воспользуются злоумышленники.
Как следствие, растущая заинтересованность компаний в таких специалистах и в результативной кибербезопасности делает профессию багхантера все более популярной и востребованной.
📄 Существует немало полезных материалов для охотников за уязвимостями. Мы подготовили свой увлекательный гайд, который будет интересен не только начинающим, но и опытным багхантерам. В нем мы подробно прошлись по теме bug bounty и рассказали о том, как прокачаться в багхантинге мобильных и веб-приложений.
Читайте первую статью из этого цикла на Хабре.
📱 Приложения становятся все сложнее, а риск эксплуатации их уязвимостей хакерами — все выше. В рамках программ bug bounty можно привлекать большое число исследователей безопасности, чтобы с их помощью успешно выявлять и исправлять уязвимости до того, как ими воспользуются злоумышленники.
Как следствие, растущая заинтересованность компаний в таких специалистах и в результативной кибербезопасности делает профессию багхантера все более популярной и востребованной.
📄 Существует немало полезных материалов для охотников за уязвимостями. Мы подготовили свой увлекательный гайд, который будет интересен не только начинающим, но и опытным багхантерам. В нем мы подробно прошлись по теме bug bounty и рассказали о том, как прокачаться в багхантинге мобильных и веб-приложений.
Читайте первую статью из этого цикла на Хабре.
🔥10👍2
На Standoff 365 Bug Bounty появляется все больше программ. Как начать багхантить и зарабатывать деньги?
👆Начните с правильного ПО. Например, с BurpSuite. Многие багхантеры считают его одним из лучших инструментов для тестирования веб-приложений на безопасность.
Вот лишь немногое из того, что он включает:
* Proxy — перехватывающий веб-прокси, который служит посредником между браузером и веб-приложением.
* Intruder — инструмент, который может использоваться исследователем для проведения автоматизированных и настраиваемых атак.
* Repeater — инструмент для ручной обработки и повторной отправки запросов, а также анализа ответов от приложения.
* Decoder — инструмент для выполнения ручного или интеллектуального кодирования и декодирования данных приложения.
* Extender — инструмент, позволяющий исследователю загружать свои и сторонние расширения Burp.
😎 Больше о том, как начать заниматься багхантингом веб-приложений — в статье на Хабре.
👆Начните с правильного ПО. Например, с BurpSuite. Многие багхантеры считают его одним из лучших инструментов для тестирования веб-приложений на безопасность.
Вот лишь немногое из того, что он включает:
* Proxy — перехватывающий веб-прокси, который служит посредником между браузером и веб-приложением.
* Intruder — инструмент, который может использоваться исследователем для проведения автоматизированных и настраиваемых атак.
* Repeater — инструмент для ручной обработки и повторной отправки запросов, а также анализа ответов от приложения.
* Decoder — инструмент для выполнения ручного или интеллектуального кодирования и декодирования данных приложения.
* Extender — инструмент, позволяющий исследователю загружать свои и сторонние расширения Burp.
😎 Больше о том, как начать заниматься багхантингом веб-приложений — в статье на Хабре.
👍10👎1🔥1🌚1
This media is not supported in your browser
VIEW IN TELEGRAM
⚡️ Standoff пройдет уже в ноябре
Мы определились с датами юбилейного, десятого по счету Standoff: 22–24 ноября белые хакеры и специалисты по информационной безопасности вновь соберутся на открытой кибербитве.
Что будет
📌 Три дня принципиального противостояния красных и синих за инфраструктуру Государства F.
📌 Митап Standoff Talks, где можно обменяться опытом с offensive и defensive специалистами, поделиться успешными находками и открытиями.
📌 Выступления экспертов из мира ИБ и встречи с представителями государства и бизнеса.
📌 Инвестиционная сессия, где мы обсудим влияние хакерской активности на привлекательность отрасли и перспективы вложений в сферы IT и кибербезопасности.
Наблюдать за происходящим можно будет в онлайн-трансляции на сайте standoff365.com
👀 А о том, как попасть на площадку и увидеть все это своими глазами, мы расскажем немного позже. Следите за новостями!
Мы определились с датами юбилейного, десятого по счету Standoff: 22–24 ноября белые хакеры и специалисты по информационной безопасности вновь соберутся на открытой кибербитве.
Что будет
📌 Три дня принципиального противостояния красных и синих за инфраструктуру Государства F.
📌 Митап Standoff Talks, где можно обменяться опытом с offensive и defensive специалистами, поделиться успешными находками и открытиями.
📌 Выступления экспертов из мира ИБ и встречи с представителями государства и бизнеса.
📌 Инвестиционная сессия, где мы обсудим влияние хакерской активности на привлекательность отрасли и перспективы вложений в сферы IT и кибербезопасности.
Наблюдать за происходящим можно будет в онлайн-трансляции на сайте standoff365.com
👀 А о том, как попасть на площадку и увидеть все это своими глазами, мы расскажем немного позже. Следите за новостями!
🔥17❤6👍1
This media is not supported in your browser
VIEW IN TELEGRAM
☎️ Открыли приём заявок на митап Standoff Talks
22 ноября мы проведём второй митап Standoff Talks для энтузиастов и профессионалов offensive и defensive security. Зовём всех поделиться с сообществом своим опытом, и открываем для вас Call for Papers: cfp.standoff365.com
Тематика докладов не изменилась:
🔹 технические доклады от специалистов в {off,def}ensive security;
🔹 bug bounty находки от хакеров и опыт проведения bb от компаний;
🔹 опыт участия в кибербитве и на онлайн-киберполигоне Standoff 365.
Митап пройдёт в уютном пространстве Grand Ballroom в Москве. Регистрацию слушателей запустим в начале ноября. Ждём ваши мощные доклады 👉 cfp.standoff365.com
Заявки на CFP принимаем до 5 ноября 📥
22 ноября мы проведём второй митап Standoff Talks для энтузиастов и профессионалов offensive и defensive security. Зовём всех поделиться с сообществом своим опытом, и открываем для вас Call for Papers: cfp.standoff365.com
Тематика докладов не изменилась:
🔹 технические доклады от специалистов в {off,def}ensive security;
🔹 bug bounty находки от хакеров и опыт проведения bb от компаний;
🔹 опыт участия в кибербитве и на онлайн-киберполигоне Standoff 365.
Митап пройдёт в уютном пространстве Grand Ballroom в Москве. Регистрацию слушателей запустим в начале ноября. Ждём ваши мощные доклады 👉 cfp.standoff365.com
Заявки на CFP принимаем до 5 ноября 📥
🔥13
⚡️ Три миллиона рублей выплатила VK исследователям безопасности на платформе Standoff 365 Bug Bounty
За три месяца работы VK получила 300 отчетов, более половины сообщений признаны существенными, выявленные на их основе уязвимости устранены.
🔥 Вознаграждение получили более 50 исследователей. Размер выплат составил от 3 до 750 тысяч рублей в зависимости от критичности уязвимости.
На Standoff 365 Bug Bounty размещено 20 сервисов VK, среди которых — ВКонтакте, Одноклассники, Skillbox. Компания планирует увеличить количество проектов на платформе более чем на 20%.
За три месяца работы VK получила 300 отчетов, более половины сообщений признаны существенными, выявленные на их основе уязвимости устранены.
🔥 Вознаграждение получили более 50 исследователей. Размер выплат составил от 3 до 750 тысяч рублей в зависимости от критичности уязвимости.
На Standoff 365 Bug Bounty размещено 20 сервисов VK, среди которых — ВКонтакте, Одноклассники, Skillbox. Компания планирует увеличить количество проектов на платформе более чем на 20%.
🔥15❤1👍1👎1
Forwarded from Standoff 365
👌 Чемпионаты VK и My Target уже на платформе
All Cups — технологическая платформа VK для проведения онлайн-соревнований, чемпионатов и олимпиад.
(кроме партнёрских или делегированных/размещённых на внешних ресурсах)
myTarget — платформа для размещения рекламы в соцсетях ВКонтакте, Одноклассники, и на других проектах компании VK.
(кроме партнёрских или делегированных/размещённых на внешних ресурсах)
🛒 Максимальная награда за уязвимости — 180 000 ₽ (в зависимости от уровня угрозы).
👀 Искать уязвимости в VK ↓
bugbounty.standoff365.com/vendors/vk
All Cups — технологическая платформа VK для проведения онлайн-соревнований, чемпионатов и олимпиад.
🔸 В скоупе все домены, созданные для соревнований VK, *.gamescup.ru, *.cups.online (кроме партнёрских или делегированных/размещённых на внешних ресурсах)
myTarget — платформа для размещения рекламы в соцсетях ВКонтакте, Одноклассники, и на других проектах компании VK.
🔸 *.target.my.com и *.ads.vk.com (кроме партнёрских или делегированных/размещённых на внешних ресурсах)
🛒 Максимальная награда за уязвимости — 180 000 ₽ (в зависимости от уровня угрозы).
👀 Искать уязвимости в VK ↓
bugbounty.standoff365.com/vendors/vk
👍5👎1
«Лента.ру», «Газета.Ru», «Чемпионат»
Что общего у этих ресурсов? Все они участвуют в программе bug bounty от Rambler&Co на The Standoff 365 😎
Скоуп и другие подробности — на странице программы.
⚡️ Самые критичные уязвимости могут принести 100 000 рублей.
Что интересно, у Rambler&Co уже был опыт подобной программы в закрытом режиме. Обкатав процесс с участием ограниченного числа исследователей, компания решилась сделать bug bounty открытой, чтобы привлечь как можно больше ИБ-специалистов и эффективнее защитить свои сервисы и десятки миллионов их пользователей.
Что общего у этих ресурсов? Все они участвуют в программе bug bounty от Rambler&Co на The Standoff 365 😎
Скоуп и другие подробности — на странице программы.
⚡️ Самые критичные уязвимости могут принести 100 000 рублей.
Что интересно, у Rambler&Co уже был опыт подобной программы в закрытом режиме. Обкатав процесс с участием ограниченного числа исследователей, компания решилась сделать bug bounty открытой, чтобы привлечь как можно больше ИБ-специалистов и эффективнее защитить свои сервисы и десятки миллионов их пользователей.
🔥12👍4
👨🦳 Секреты и истории бывалого багхантера
Хотите узнать больше о способах поиска поддоменов, нестандартных векторах и методах поиска уязвимостей?
Исследователь безопасности Юрий Ряднина aka circuit на VolgaCTF 2022 рассказал обо всем этом, а также поделился полезными советами и увлекательными историями из жизни опытного багхантера.
🔥 Увидеть полное выступление Юрия можно на YouTube.
А если у вас есть своя крутая тема и вы хотите поделиться ею — приходите на Standoff Talks. Прием заявок для спикеров уже открыт >> cfp.standoff365.com
Хотите узнать больше о способах поиска поддоменов, нестандартных векторах и методах поиска уязвимостей?
Исследователь безопасности Юрий Ряднина aka circuit на VolgaCTF 2022 рассказал обо всем этом, а также поделился полезными советами и увлекательными историями из жизни опытного багхантера.
🔥 Увидеть полное выступление Юрия можно на YouTube.
🔥10👍2❤1
Forwarded from Positive Technologies
This media is not supported in your browser
VIEW IN TELEGRAM
🧑💻 Стажировка в Positive Technologies. Часть II
В условиях многократного роста числа кибератак необходимы новые компетентные и квалифицированные кадры для Security Operations Center (SOC). Обучение и поддержка начинающих специалистов так же важны, как и вклад в развитие продуктов и улучшение экспертизы.
Мы уже рассказывали о масштабной стажировке, которая прошла с 7 февраля по 6 июня этого года в экспертном центре безопасности Positive Technologies (PT Expert Security Center). Чтобы познакомить ее участников не только с рутинными кейсами внутри сети, но и с реальной хакерской активностью, в финальную часть стажировки было включено участие в кибербитве Standoff.
В новом материале вас ждет рассказ про план и формат работы на битве, разбор пары кейсов из отчетов участников и их собственные отзывы. А еще мы попробуем ответить на главный вопрос: насколько специалисты без практического опыта реально способны обнаружить и расследовать действия настоящих злоумышленников.
👀 Подробнее об этом читайте в статье на Хабре
#PositiveTechnologies
В условиях многократного роста числа кибератак необходимы новые компетентные и квалифицированные кадры для Security Operations Center (SOC). Обучение и поддержка начинающих специалистов так же важны, как и вклад в развитие продуктов и улучшение экспертизы.
Мы уже рассказывали о масштабной стажировке, которая прошла с 7 февраля по 6 июня этого года в экспертном центре безопасности Positive Technologies (PT Expert Security Center). Чтобы познакомить ее участников не только с рутинными кейсами внутри сети, но и с реальной хакерской активностью, в финальную часть стажировки было включено участие в кибербитве Standoff.
В новом материале вас ждет рассказ про план и формат работы на битве, разбор пары кейсов из отчетов участников и их собственные отзывы. А еще мы попробуем ответить на главный вопрос: насколько специалисты без практического опыта реально способны обнаружить и расследовать действия настоящих злоумышленников.
👀 Подробнее об этом читайте в статье на Хабре
#PositiveTechnologies
🔥9👎2👍1😱1
Forwarded from Standoff 365
👉 Новая программа bug bounty от VK
Портал — это разнообразные инструменты для хранения данных, взаимодействия с внешним миром и решения вопросов от личных до профессиональных.
Медиапроекты
👀 Искать уязвимости на Портале ↓
bugbounty.standoff365.com/programs/portal_vk
Портал — это разнообразные инструменты для хранения данных, взаимодействия с внешним миром и решения вопросов от личных до профессиональных.
Медиапроекты
news.mail.ru, pogoda.mail.ru, sportmail.ru, hi-tech.mail.ru, kino.mail.ru, tv.mail.ru, deti.mail.ru, health.mail.ru, dom.mail.ru, lady.mail.ru, auto.mail.ru, hi-chef.ru, pets.mail.ru, dobor.mail.ru, typewriter.mail.ru, resizer.mail.ru, media-poll.mail.ru, media-golos.mail.ru, static.media-golos.mail.ru, *.minigames.mail.ru, otvet.mail.ru
Картыmaps.mail.ru, maps.vk.com📌 Максимальная награда за уязвимости — 180 000 ₽ (в зависимости от уровня угрозы).
👀 Искать уязвимости на Портале ↓
bugbounty.standoff365.com/programs/portal_vk
😁8🔥3👍1
This media is not supported in your browser
VIEW IN TELEGRAM
📢 Через 10 дней завершается Call For Papers на митап Standoff Talks. Но еще можно стать спикером → cfp.standoff365.com
Ждём технические доклады на темы offensive/defensive security, bug bounty и Standoff.
✅ Если вы пропустили первый митап — его можно посмотреть на ютубе.
P.S. А еще Talks — это отличная возможность увидеть Standoff 10 😉
Ждём технические доклады на темы offensive/defensive security, bug bounty и Standoff.
✅ Если вы пропустили первый митап — его можно посмотреть на ютубе.
P.S. А еще Talks — это отличная возможность увидеть Standoff 10 😉
🔥6👍1
Forwarded from Positive Technologies
🛡 Защищенность ресурсов в эпоху глобального киберпротивостояния играет важную роль. Объективно и достоверно оценить защиту бизнеса помогают программы bug bounty.
Российский рынок bug bounty активно формируется. Отечественные компании готовы платить багхантерам от нескольких десятков до сотен тысяч рублей за найденную уязвимость. В отдельных случаях выплаты достигают 1 млн рублей и более.
Например, средняя выплата за критически опасную уязвимость на нашей платформе Standoff 365 Bug Bounty составляет 420 тысяч рублей, что сопоставимо с выплатами по миру. А за пять месяцев работы платформы участникам было выплачено более 3 млн рублей.
📈 Главным драйвером развития bug bounty в России могут стать госсектор и организации критической инфраструктуры — для них это способ проверить, возможна ли реализация недопустимых событий, которые могут привести к непоправимым последствиям, в их информационных системах.
🪲🔍 Мы проанализировали крупные и активные платформы bug bounty по всему миру и выяснили в каких отраслях наиболее востребованы услуги независимых исследователей, какие вознаграждения выплачивают компании и в каких регионах больше всего bug-bounty-платформ.
Подробнее — на карточках, а также в нашем полном исследовании.
#PositiveTechnologies #Standoff365 #BugBounty
Российский рынок bug bounty активно формируется. Отечественные компании готовы платить багхантерам от нескольких десятков до сотен тысяч рублей за найденную уязвимость. В отдельных случаях выплаты достигают 1 млн рублей и более.
Например, средняя выплата за критически опасную уязвимость на нашей платформе Standoff 365 Bug Bounty составляет 420 тысяч рублей, что сопоставимо с выплатами по миру. А за пять месяцев работы платформы участникам было выплачено более 3 млн рублей.
📈 Главным драйвером развития bug bounty в России могут стать госсектор и организации критической инфраструктуры — для них это способ проверить, возможна ли реализация недопустимых событий, которые могут привести к непоправимым последствиям, в их информационных системах.
🪲🔍 Мы проанализировали крупные и активные платформы bug bounty по всему миру и выяснили в каких отраслях наиболее востребованы услуги независимых исследователей, какие вознаграждения выплачивают компании и в каких регионах больше всего bug-bounty-платформ.
Подробнее — на карточках, а также в нашем полном исследовании.
#PositiveTechnologies #Standoff365 #BugBounty
🔥8👍1
Forwarded from Багхантер
This media is not supported in your browser
VIEW IN TELEGRAM
10 способов отрепортить ерунду и получить за это баунти (1 часть)
Написал небольшую статью про самые нелепые баги за которые мне удавалось получить награду ;)
Буду благодарен если где-то поделитесь статьей)
https://telegra.ph/10-sposobov-otreportit-erundu-i-poluchit-za-ehto-baunti-10-10
Написал небольшую статью про самые нелепые баги за которые мне удавалось получить награду ;)
Буду благодарен если где-то поделитесь статьей)
https://telegra.ph/10-sposobov-otreportit-erundu-i-poluchit-za-ehto-baunti-10-10
👍13🔥4❤3