➡️ Программа Standoff Talks

11:00 Интро от организаторов
11:10 Александра Антипина — Коллаборативные платформы для анализа защищённости
11:50 Магама Базаров — Taken Under. Постэксплуатация взломанного сетевого оборудования

🚉 Перерыв 45 минут / экскурсия к макету Standoff

13:50 Алексей Морозов — История Codeby на Standoff
14:30 Екатерина Никулина — Глазами SOC: типичные ошибки red team

☕️ 15:35 Кофе-брейк

15:50 Ильсаф Набиуллин — OAuth 2.0 и как его разламывать
16:30 Юрий Ряднина — 37 слайдов про багбаунти

☕️ 17:15 Кофе-брейк

17:30 Круглый стол по багбаунти

🍻 19:00 Фуршет, нетворкинг

С нетерпением ждём вас завтра на втором Standoff Talks!

📍 Место встречи
Москва, Grand Ballroom около м. Павелецкая, Шлюзовая набережная, 2/1с1

С 9:30 можно подходить на площадку, получать бейдж, осваиваться. С 11:00 будет основная часть с докладами, в 17:30 круглый стол по багбаунти. Расписание митапа — t.me/standoff_365/57

▶️ Если не сможете быть, подключайтесь к трансляции 👉 youtu.be/5cJwQcMsYcY

✖️ И у нас ещё заготовлены для вас кружочки от спикеров :)

Знакомьтесь, Магама Базаров. Погрузит вас завтра в свой мир сетевой небезопасности и кошмаров. Если любите с утра нагружать мозг, Магама будет вас ждать в 11:50 на сцене Talks с докладом про постэксплуатацию взломанного сетевого оборудования — Taken Under.

🗣 Через 3 минуты продолжим историей Codeby на Standoff. Приходите в зал Talks и подключайтесь к трансляции — youtu.be/5cJwQcMsYcY

Начали финальный доклад от Юры. Гогого! Рекомендуем 👍

Вчера прошёл второй митап Standoff Talks. Благодарим всех, кто пришёл, смотрел трансляцию и поделился своим опытом! Вы задали много клёвых вопросов, спасибо! 🙏

На митапе у нас было 6 докладов и дискуссия про Bug Bounty. Если вы хотя бы один посмотрели, поделитесь впечатлениями → ✍️ forms.gle/Sz8wtNi3yWXKTci2A

Обратную связь из формочки мы передадим спикерам и организаторам лично. Оставляйте ваши пожелания для следующих митапов Talks, возьмём идеи на вооружение :)

🎥 Записи всех докладов в плейлисте второго митапа, а здесь все презентации спикеров ↓

🔹 Александра Антипина — Коллаборативные платформы для анализа защищённости
🔹 Магама Базаров — Taken Under. Постэксплуатация взломанного сетевого оборудования
🔹 Алексей Морозов — История Codeby на Standoff
🔹 Екатерина Никулина — Глазами SOC: типичные ошибки red team
🔹 Ильсаф Набиуллин — OAuth 2.0 и как его разламывать
🔹 Юрий Ряднина — 37 слайдов про багбаунти

Увидимся на следующем митапе Standoff Talks! 🫶

🔔 Обновление программ bug bounty от VK

VK WorkSpace — 4 сервиса для работы в единой цифровой среде: почта на корпоративном домене, облачные хранилища, виртуальные сервера или аналитические инструменты.
🔸 В скоупе biz.mail.ru и *.biz.mail.ru

VK Teams — коммуникационная платформа для эффективной командной работы.
🔸 В скоупе *.teams.vk.com

💰 Самое высокое вознаграждение из этих программ в VK WorkSpace — 900 000 ₽.

👀 Искать уязвимости в VK ↓
bugbounty.standoff365.com/vendors/vk

🧭Как быстрее получить вознаграждение на платформе Standoff 365 Bug Bounty

1. Проверьте, что у вас в профиле для выплаты указаны полные и верные паспортные данные. Мы выплачиваем вознаграждения налоговым резидентам РФ старше 18 лет.

2. Проверьте, что верно указаны реквизиты банковского счёта, куда перечислять деньги.

Если внесли изменения в данные, напишите @ksvark — если всё ок, выплата будет в следующей итерации.

⏰ Обновления программ на багбаунти-платформе

PayDay — сервис, который позволяет сотрудникам отслеживать количество заработанных денег и получать их в любое удобное время.
🔸 *.ext1.payday.ru, boss.payday.ru, gost.sandbox.payday.ru, 1cmail.payday.ru, app.payday.ru, dmr.payday.ru, ministorage.payday.ru, storage.payday.ru, user.payday.ru, partner.payday.ru, gost.partner.payday.ru, payday.ru, cms.payday.ru, strapi.payday.ru, stat.payday.ru
💳 Максимальная награда за уязвимости — 180 000 ₽

ОРД VK — оператор рекламных данных, с помощью которого участники рынка могут маркировать интернет-рекламу в соответствии с новыми правилами.
🔸 ord.vk.com, sandbox.ord.vk.com, api.ord.vk.com, api-sandbox.ord.vk.com
💳 60 000 ₽

Также добавили в скоуп программы Positive bug hunting портал продуктовой документации help.ptsecurity.com

👀 Искать уязвимости на Standoff 365 Bug Bounty → bb.standoff365.com/programs

🔔 Обновление программ bug bounty от VK

NativeRoll — платформа, которая размещает видеорекламу вне плеера и видеоконтента на сайтах более 100 издателей.
💰 ≤ 60 000 ₽

FoodPlex — сервисы для ресторанного бизнеса.
💰 ≤ 180 000 ₽

Юла — сервис объявлений о продаже и покупке товаров всех категорий.
💰 ≤ 180 000 ₽

Relap — сеть нативной рекламы в Рунете, позволяющая персонализировать рекомендацию контента на основе поведения пользователя.
💰 ≤ 60 000 ₽

VK Tax Compliance — платформа цифрового взаимодействия бизнеса и государства, которая позволяет участникам режима налогового мониторинга выполнять требования законодательства.
💰 ≤ 60 000 ₽

👀 Искать уязвимости в VK ↓
bugbounty.standoff365.com/vendors/vk

Итоговые итоги

✅ Мы провели две кибербитвы Standoff — в мае и ноябре. 27 команд хакеров проверили свои силы на реальной инфраструктуре, а 11 команд защиты расследовали их действия. В 2023 будут новые сегменты и недопустимые события, а также новые форматы киберучений.

✅ В июле мы запустили киберполигон Standoff с тремя сегментами для ломания 24/7/365. За год в банке STF Bank было реализовано 6 недопустимых событий, в энергетическом холдинге Big Bro Group и IT-компании Hello World Systems по два. 119 хакеров реализовали хотя бы одно недопустимое событие или нашли уязвимость, всего было обнаружено 295 уязвимостей. Если хотите потренироваться в новогодние праздники → range.standoff365.com

✅ В мае запустили нашу багбаунти-платформу. Сейчас на ней 41 программа, багхантеры обнаружили 897 уязвимостей, в среднем за день хакеры присылают 4 репорта, а ещё мы выплатили больше 11 млн.₽ вознаграждений. Сделать сервисы безопаснее и получить баунти → bb.standoff365.com

✅ В августе и ноябре организовали для вас митапы Standoff Talks: послушали потрясающие ресёрчи и хакерские байки, да и в целом чудесно провели время. Всё записали и выложили на ютуб → youtube.com/@standoff365

💪 В течение года мы заботливо собирали пожелания и фидбэк от вас. Спасибо, что делились и помогаете улучшать платформу! В феврале порадуем вас новыми публичными и приватными программами; запустим автоматизацию по выплатам вознаграждений, а самозанятые и ИП смогут выводить баунти, сэкономив на налогах. О результатах и некоторых планах недавно рассказал главный по платформе багбаунти — Анатолий Иванов, @c0rv4x

С теплом и наилучшими пожеланиями в новом году! ❤️

🎄 И немного новогоднего волшебства!

Ваши успехи на платформе Standoff 365 не прошли незамеченными — мы подготовили новогодние подарки топ-10 по рейтингу багбаунти и топ-10 на киберполигоне. Рейтинг взяли на сегодняшний день, 13:37. Ждите скоро сообщения от Санты @ksvark.

🔥 Добавили первую в 2023 году багбаунти-программу

SkillFactory — образовательная платформа, которая готовит специалистов в Data Science, Machine Learning, аналитике с применением Python, разработке, управлении IT-продуктами и по другим направлениям.

🔸 skillfactory.ru, *.skillfactory.ru
кроме делегированных и размещённых на внешнем хостинге доменов и фирменных партнёрских сервисов.
💰 до 60 000 ₽

👀 Искать уязвимости на платформе SkillFactorty ↓
bugbounty.standoff365.com/programs/skillfactory_vk