Мы непрерывно совершенствуем свой подход к результативной кибербезопасности: в программу багбаунти Positive Dream Hunting добавлено второе недопустимое для компании событие. Первый, кто сможет внедрить условно вредоносный код в продукты вендора, получит вознаграждение в 60 млн рублей. Также мы подняли до 60 млн рублей выплату за реализацию первого недопустимого события — кражи денег со счетов компании.
По информации Bleeping Computer, Google на месяц вполовину подняла бонусы багхантерам за обнаруженные уязвимости в бета-версии Android 13. Максимальная выплата за рабочую цепочку эксплойтов для удаленного выполнения кода во обход чипа безопасности Titan M в данном случае составляет $1,5 млн.
В данном посте мы расскажем как запустили пилот национальной BugBounty платформы в Казахстане, как из этого родился полноценный международный стартап и почему мы считаем это одной из самых успешных инициатив в области кибербезопасности в Казахстане.
Багхантинг — очень интересное занятие (по моему скромному мнению ?). Никогда не знаешь, какую уязвимость удастся найти сегодня. Каждый белый хакер уникален и имеет собственный стиль. Тяжелым трудом он приобретает необходимые навыки и оттачивает техники поиска уязвимостей определенных классов. В случае успеха приложенные усилия окупаются наградой — крупным денежным вознаграждением.
Чтобы упростить получение необходимых навыков другим багхантерам и не растягивать этот процесс надолго, я создал сайт с большим количеством уязвимостей. По сути, это тестовый стенд, где любой желающий может практиковаться и улучшать навыки по поиску проблем ИБ.
Исследуйте безопасность сайта и репортите найденные баги в комментариях.
На международной конференции по практической кибербезопасности OFFZONE 2022, прошедшей 25 августа этого года, компания BI.ZONE представила собственную платформу по поиску уязвимостей Bug Bounty. Информационная служба Хабра побывала на этом мероприятии. Это уже вторая платформа, представленная в 2022 году российскими кибербез-компаниями. Первая в этом году вышла у компании Positive Technologies под названием The Standoff 365. Она была представлена на мероприятии Positive Hack Days в мае. Однако, есть еще одна платформа запущенная раньше озвученных — это bugbounty.ru. Последнюю запустили еще в 2021 году.
Новую отечественную Bug Bounty платформу представляли директор блока экспертных сервисов BI.ZONE Евгений Волошин и тимлид BI.ZONE Bug Bounty Сергей Колесников.
Positive Technologies впервые в России объявила о запуске программы bug bounty нового типа[1], которая ориентирована не на поиск сугубо технических уязвимостей во внешних сервисах компании, а на реализацию действительно критически опасного для компании события — хищения денег со счетов. Мы готовы выплатить беспрецедентное для России вознаграждение в 10 миллионов рублей.