А сегодня смотрим блиц с Юрой circuit Ряднина.

Итак, вопросы те же:

🔗 Kill Chain или низко висящие фрукты?
🏖 Отдых на ивенте для багхантеров или поиск багов?
🤫 Приватка или паблик?
👾 Самая первая бага и самая большая выплата?

а вот ответы… 👀 вас, возможно, удивят.

PS: кстати, а как вам выпуск подкаста с багхантерами? Уже успели посмотреть? Если нет, то впереди выходные – запасайтесь попкорном и го смотреть 🍿

📱 VK Видео | 📱YouTube | 📺 RUTUBE

#bugbounty

Ну и продолжая тему Bug Bounty, не можем не зафорсить исследование на Хабре, которе мы запустили вместе со Standoff Bug Bounty 👾

Для нас Bug Bounty – это уже больше, чем программа по поиску уязвимостей. 10 лет уже в этом "бизнесе" 😎 Мы дорожим нашим коммьюнити багхантеров, и нам всегда очень интересно узнавать, что их мотивирует, что нравится в программах, а чего не хватает.

Ну и конечно, нам бы хотелось узнать, что другие знают и думают про багхантинг 🤔

Поэтому будем очень рады, если вы поделитесь своим мнением 👉
https://habr.com/ru/specials/849390/

#bugbounty

Итак, последний блиц – с Димой ratel_xx Прохоровым 😎

Смотрим, что ответит Дима на вопросы про Kill Chain, отдых на мероприятиях для багхантеров, публичные программы и первую оплачиваемую багу. 👾

А еще бонусный вопрос: готов ли платить, чтобы раскрутить багу?

Ну что, какой блиц вам понравился больше ❓

#bugbounty

Фишинг, спам и роботы фроды 🥸

На митапе smartmail: antispam & antifraud эксперты команд Mail и VK поделились опытом защиты миллионов пользователей от мошеннических схем, рассказали о технологиях и прорывах в обучении ML, а также воспитании культуры кибербезопасности. И конечно, рассказали об эволюции фишинга и спама.

Смотрите видео этих докладов:

🎣 Фишинг: снаружи и изнутри
Ксения Кокорева, руководитель команды Антифишинга, Mail, и Павел Никитин, Red & Purple Team Lead, VK
🔹Про эволюцию фишинга, про использование ML, а также про таргетированные атаки и то, что случится после «пробива».

🤖 С чего начинаются фроды
Максим Бронзинский, руководитель команды AntiFraud, VK
🔹Простые правила борьбы с фродом, которые почему-то не так просто соблюдать, и причины, почему люди лучше роботов.

🔎 Как мы реализовали OCR в Почте
Сергей Сунцов, руководитель команды backend-разработки Антиспама, Mail, и Константин Хицко, руководитель команды Спаманализа, Mail.
🔹 Про то, как научились распознавать текст на картинках в потоке несколько миллионов писем в минуту и не тратить на это большое количество GPU.

#эксперты #доклады

🎙️ Новый выпуск подкаста про Bug Bounty – триаж уязвимостей

Сперва мы послушали багхантеров – узнали про их будни, достижения и «хотелки», а теперь настал черед тех, кто находится по другую сторону Bug Bounty. 😎

Позвали Дарью Афанасову (Standoff Bug Bounty), Елизавету Дудко (Т-Банк), Никиту Кузякина (BI.ZONE.Bug Bounty) и Петра Уварова (VK Bug Bounty), чтобы обсудить с ними насущные вопросы и проблемы триажа, а также ответить на «боли» багхантеров.

О чем поговорили ❓

🔹 Отчеты: процесс валидации, советы по оформлению и дисклоузы
🔹 Дубликатные дубликаты
🔹 Выплаты, бонусы и специальные программы
🔹 Хватает ли багхантеров на российском рынке Bug Bounty?
🔹 Советы начинающим ресерчерам

📺 Смотрите, что триажеры рассказали Сергею poxek Зыбневу, ведущему этого выпуска подкаста «Рынок уязвимостей»:

📺 VK Видео | 📺 YouTube | 📺 RUTUBE

⭐️ Новые призеры Bounty pass#2: Olymp

Это последний апдейт в таблице олимпийцев перед подведением итогов Bounty pass#2: Olymp – победителей объявим 25 октября.

А пока давайте поздравим:

🥇 zerodivisi0n и r0hack, которые поднялись на верхнюю ступеньку нашего багхантерского пьедестала

🥈 cutoffurmind – с завоеванным серебром

🥉 Dandomi, circuit и lobity с тем, что ворвались в борьбу и уверенно завоевали бронзу

Да, Bounty pass#2: Olymp завершится вечером 21 октября, но это не повод расстраиваться. У вас еще есть время, чтобы сдать отчеты о найденных уязвимостях, накопить бонус и попасть в число олимпийских призеров. На кону – уникальные наборы мерча, а победители получат несгораемый бонус 10% на целый год.

🚀Спешите в программы VK Bug Bounty на платформах Standoff, BI.ZONE и Bugbounty.ru.

#bugbounty #bountypass #olymp

Блиц, блиц, блиц!

После записи подкаста про Триаж уязвимостей мы попросили наших участников ответить на вопросы в формате блиц-интервью. Да, нам так понравилось, как это сделали багхантеры, что решили повторить.

Итак, сегодня показываем первый блиц, где Петр Уваров (VK Bug Bounty) отвечает на вопросы Сергея Зыбнева (poxek):

💦 Один отчет в день или непрерывный поток?

🫴 Что ответить на please, give me 500$"?

☕️ Сколько чашек кофе нужно утром, чтобы разобрать ночные отчеты?

📺 Какой сериал или фильм описывает работу триажеров?

🤔 Как сказать багхантеру, что отчет не воспроизводится, другими словами?

PS: надеемся, вы уже успели посмотреть выпуск подкаста про Триаж уязвимостей, а если нет – то вот ссылки, где его найти

📺 VK Видео | 📺 YouTube | 📺 RUTUBE

#bugbounty

🍿 Сегодня смотрим, что на вопросы Сергея poxek Зыбнева ответил Никита Кузякин из BI.ZONE Bug Bounty:

🌚 Может, все-таки один отчет в день? Или много и постоянно?

💰 Что все-таки ответить на Please, give me 500$?

☕️. Сколько чашек кофе нужно, чтобы разобрать все присланные за ночь отчеты?

📺 Какой фильм или сериал описывает работу триажеров?

👀 Как другими словами сказать багхантеру, что его отчет не воспроизводится?

#bugbounty

🎁 Встречайте Bounty pass#3: Advent,
или Mission Possible: собрать все подарки до Нового года

На календаре 22 октября, а значит, время объявить о старте нового Bounty pass#3: Advent. В финальном событии этого юбилейного для VK Bug Bounty года мы приготовили для багхантеров кучу подарков:

💲 Бонусы-бонусы-бонусы
Все любят бонусы, а когда на них нет лимита – еще больше! Поэтому продлили действие уже накопленных бонусов с Bounty pass#1: Progress и Bounty pass#2: Olymp и +5% с каждым новым оплачиваемым отчетом до 19 декабря.

🎁 Адвент-календарь багхантера
Что может быть лучше вознаграждений? Конечно, подарки – уникальный мерч и промокоды, которые можно получать с каждым новым оплачиваемым отчетом (или за каждые 100 000 рублей в отчёте)!

В адвент-календаре на сайте уже открыто 3 подарка, а новые будут появляться каждый вторник до 10 декабря.

🎄 BB Advent Party
Большая новогодняя вечеринка 19 декабря, куда мы пригласим:

🏆 победителей и топ-20 призёров Bounty pass #1: Progress
🥇🥈🥉 всех победителей и призеров Bounty pass #2: Olymp
😎 и всех, кто сдаст 3 оплачиваемых отчёта или получит суммарную выплату на 300 и более тысяч рублей в Bounty pass #3: Advent до 10 декабря 2024 года

🐱 Сезон волшебства и новогодних подарков объявляем открытым! Ждем всех в нашей программе VK Bug Bounty на трех платформах платформах Standoff, BI.ZONE и Bugbounty.ru!

#bugbounty #bountypass #advent

Последний, но зато какой 😎

Да, напоследок решили показать наш самый необычный блиц с гостями выпуска про триаж уязвимостей – с Дарьей Афанасовой из Standoff.

Простите за спойлер (как говорил Никита Кузякин BI.ZONE Bug Bounty в прошлом выпуске), но в этот раз не обошлось без спецэффектов ✨✨✨

А все почему? У ведущего – Сергея Зыбнева (poxek) возник вопрос про самую интересную уязвимость, которую нашли на площадке в этом году.

Интрига? 👀

Скорее смотрим блиц!

#bugbounty

✌️ Победители Bounty pass#2: Olymp

Поздравляем mr4nd3r50n, который сдал больше всего отчетов, и act1on3, который получил больше всего баунти за время проведения Bounty pass#2: Olymp 🎉

🎁 Начиная с этого дня они будут получать +10% к выплатам за все найденные уязвимости в программе VK Bug Bounty до октября 2025-го.

🙌 Благодарим всех участников Bounty pass#2: Olymp за участие и сданные отчеты вплоть до последних часов 21 октября – еще увлеченно триажим их, поэтому финальную расстановку призеров в таблице олимпийцев объявим чрез 2 недели (8 ноября).

А пока ждем результатов – продолжаем искать уязвимости в программе VK, копить бонусы и собирать подарки с Bounty pass#3: Advent!

#bugbounty #bountypass #olymp

🛡 Bug Bounty vs Pentest

В новом выпуске подкаста SafeCode Live Петр Уваров (VK Bug Bounty) и Сергей poxek Зыбнев (пентестер Бастион) рассказали ведущему – Алексею Федулаеву (MTC Web Services и автору канала Ever Secure) о том:

🔹 зачем компаниям нужны внешние исследователи безопасности,

🔹 когда нужны пентесты, а когда нужно запускать программу Bug Bounty,

🔹 и поделились забавными случаями из жизни хакинга.

📺 Смотрите выпуск на 📱 YouTube

🎧 Или слушайте в формате аудио на платформах:

📱 ВКонтакте | 📱 Apple Podcasts | 📱 Яндекс Музыка

🎁 Bounty pass#3: Advent
Новая неделя – новые подарки

Наш багхантерский адвент-календарь начинается по вторникам, поэтому сегодня открыли для вас два новых окошка с подарками. 😲

Итак, в четвертом окошке вы найдете наш Special Advent Edition аксессуар, а что скрывалось в пятом – смотрите на сайте Bounty pass#3: Advent.

Уже получили ваши отчеты об уязвимостях - смотрим, триажим... 🤔

и ждем новые на платформах Standoff, BI.ZONE Bug Bounty и Bugbounty.ru!

#bugbounty #bountypass #advent

🤖 AI на страже VK

Сейчас ИИ уже активно используют во многих технических сферах, но по поводу их применения в ИБ – в индустрии еще много споров и мнений.

В VK мы нашли решение – разработали на основе ИИ систему защиты от DDoS-атак и бот-активностей. Планируем внедрить его во все популярные проекты VK до конца 2024 года. 🗓

🛡 Наш новый сервис WARP (Web Application Resilient Protection) анализирует трафик и выявляет вредоносные запросы на основе постоянно меняющегося поведения пользователей и структуры атак.

🔎 Технология помогает выявлять аномалии и бороться с новым типом нагрузок (длительными атаками на несколько дней), а также распознавать сложные атаки, которые совмещают сразу несколько угроз (программы-парсеры, программы-брутфорсеры и другой вредоносный софт).

🤖 ИИ-модели обучены на обезличенных и обобщенных данных о поведении пользователей каждого сервиса VK. Они отличают злонамеренные действия от органических всплесков активности на площадке.

PS: при создании этого поста мы использовали ИИ – попросили нейронку показать нам, как выглядит WARP.

Именно так мы его себе и представляли. Наверное... 😕

#технологии #AI #WARP #защита_инфраструктуры

Коллеги из есom.teсh собирают 15 ноября митап по информационной безопасности

Будут интересные доклады про DevSecOps, Red Teaming проектов и SOC от ecom.tech, Купер.тех и 3side.

А еще дискуссия с экспертами из BigTech, в которой примет участие наш руководитель CSIRT в VK SOC – Никита Галимов.
На дискуссии планируют обсудить:

👎 атаки Fake Boss и как с нимим бороться

❓ какая модель SOC лучше: гибрид, in-house, или MSSP

📈 развитие TI, какие TI-процессы в BigTech

Приходите офлайн в Москве или присоединяйтесь онлайн – регистрация еще открыта.

Все подробности 👉 тут

#эксперты #дискуссия #митап

📆 Адвент-календарь:
Новые подарки c Bounty pass#3

Итак, сегодня вторник, а значит – самое время посмотреть, что можно получить за 6 и 7 оплачиваемых отчетов об уязвимости в программе VK Bug Bounty.

Подарок, который скрывался в шестом окошке, – это промокод на 75 000 рублей 💰

да-да, и это дополнительно к уже накопленным c Bounty pass бонусам 😎

а в седьмом – ищите на сайте Bounty pass#3: Advent 🖥

Ждем ваши новые отчеты на платформах Standoff, BI.ZONE Bug Bounty и Bugbounty.ru!

#bugbounty #bountypass #advent

Каждый третий пользователь становился жертвой травли в интернете, согласно данным исследования VK.

48% опрошенных отметили, что сталкивались с разжиганием ненависти в свой адрес, 43% — с распространением клеветы. 22% пострадали от киберсталкинга или навязчивого внимания.

Кибербуллинг влияет на поведение людей не только в интернете, но и в реальной жизни. Онлайн-травля приводит к психоэмоциональным и физическим расстройствам, при этом наибольшая доля жертв не обращаются за помощью и предпочитают переживать ситуацию в одиночестве. 😣

Каждый год 11 ноября VK проводит День борьбы с кибербуллингом 🤍

В этом году акция проходит в шестой раз и впервые продлится не день, а целый месяц. Зачем мы это делаем? Чтобы как можно больше людей знали, как реагировать на кибербуллинг и поддерживать тех, кто с ним столкнулся​.

Подробнее о том, как справиться с проблемой и как помочь другим, на сайте #неткибербуллингу 🤍

🃏 Любите ли вы настольные игры так же, как мы?

А если это игра по информационной безопасности? 😯

Да еще и с расследованием киберинцидента? 😮

Да-да, мы взяли экспертов программы VK Bug Bounty, специалистов SOC, пару-тройку багхантеров, дизайнеров и издательство и создали самую настоящую настольную игру про потенциальный киберинцидент 💨

который мог бы случиться, но тьфу-тьфу-тьфу, только в параллельной реальности…

И именно эту настольную игру получат все багхантеры, которые сдадут 8 оплачиваемых отчетов в Bounty Pass#3: Advent 🎁

И смотрите на сайте, что скрывало 9 окошко нашего адвент-календаря.

#bugbounty #bountypass #advent

👀 Коммитить нельзя сканировать: как мы боремся с секретами в коде

У нас, как и у большинства компаний, был классический процесс борьбы с секретами – различные инструменты сканировали кодовую базу, и при обнаружении паролей, токенов и т.д. нам приходилось их ротировать. Но главная проблема такого подхода в том, что проверить, действительно ли секрет был инвалидирован, не всегда возможно
Если перед вами стоит похожая задача и нужно выстроить процесс поиска секретов в каждом коммите в GitLab, то почитайте статью на Хабре от нашего DevSecOps-инженера Александра Карпова.

⏳ Всего за 8 минут вы узнаете:

▪️Как оптимально вычищать кодовую базу от любых секретов?
▪️Что выбрать: CI/CD jobs, Git, server-side или web hooks?
▪️Какие подводные камни существуют?
▪️Как сделать так, чтобы и разработчикам было максимально комфортно и безопасники были довольны?

Читать статью

#appsec #эксперты #статья

💥 Встречайте VK Security Confab, теперь в формате Max!

Нам так понравилось проводить митапы VK Security Confab, что мы решили устроить еще один. Но сделать его еще больше, еще практичнее, еще интереснее!

Приглашаем 11 декабря на нашу первую конференцию по практической информационной безопасности.
Мы будем говорить только о том, что имеет значение – технологии, кейсы и best practices. Только техника, только хардкор! 🤟

📣 Call for Papers (до 29 ноября)
Есть крутая экспертиза? Расскажите нам о ней!
Скорее отправляйте ваши заявки в форме на сайте.

VK Security Confab Max – это

📍 Место встречи экспертов и практиков

💡 5 основных тем: SOC, AppSec, безопасность пользователей, облаков и инфраструктуры

👍 Программа на целый день: технические доклады, нетворкинг и афтепати

📺 Онлайн-трансляция для тех, кто не сможет приехать к нам в офис


Все подробности и регистрация 👉 на сайте

#confab #max #конференция