🕷 BugBountyRu

Bounty pass#3: Advent – финальное событие юбилейного года VK Bug Bounty

Ребята из VK сегодня запустили новое событие Bounty pass#3: Advent, в котором все участники смогут:

✔️Увеличить накопленные бонусы с Bounty pass#1: Progress и Bounty pass#2: Olymp, забирая +5% с каждым новым оплачиваемым отчетом до 19 декабря.

✔️ Получать подарки из адвент-календаря с каждым новым оплачиваемым отчетом (или за каждые 100 000 рублей в отчёте)

✔️ Приглашение на новогоднюю вечеринку BB Advent Party 19 декабря, куда пойдут:

🏆 все победители и топ-20 призёров Bounty pass #1: Progress,
🥇все призеры и победители Bounty pass #2: Olymp, а также
👾 все, кто сдаст 3 оплачиваемых отчёта или получит суммарную выплату на 300 и более тысяч рублей в Bounty pass #3: Advent до 10 декабря 2024 года.

Спешите сдать свой отчет в программе VK на платформе Bugbounty.ru!

⭐️ Новые призеры Bounty pass#2: Olymp

Это последний апдейт в таблице олимпийцев перед подведением итогов Bounty pass#2: Olymp – победителей объявим 25 октября.

А пока давайте поздравим:

🥇 zerodivisi0n и r0hack, которые поднялись на верхнюю ступеньку нашего багхантерского пьедестала

🥈 cutoffurmind – с завоеванным серебром

🥉 Dandomi, circuit и lobity с тем, что ворвались в борьбу и уверенно завоевали бронзу

Да, Bounty pass#2: Olymp завершится вечером 21 октября, но это не повод расстраиваться. У вас еще есть время, чтобы сдать отчеты о найденных уязвимостях, накопить бонус и попасть в число олимпийских призеров. На кону – уникальные наборы мерча, а победители получат несгораемый бонус 10% на целый год.

🚀Спешите в программы VK Bug Bounty на платформах Standoff, BI.ZONE и Bugbounty.ru.

#bugbounty #bountypass #olymp

https://habr.com/ru/companies/ruvds/articles/851106/

Перефразируя старый спич, можете ли вы сами чинить/ломать свой авто. Можете, но рассказывать об этом можно только автопроизводителю.

Законопроект № 509708-8 «О внесении изменений в статью 1280 части четвертой Гражданского кодекса Российской Федерации (об использовании программ для ЭВМ и баз данных)» был принят 16 октября в первом чтении.

Данный нормативный акт дает право любому пользователю «без согласия правообладателя и без выплаты вознаграждения изучать, исследовать или испытывать функционирование программы для ЭВМ или базы данных в целях выявления недостатков для их безопасного использования или поручить иным лицам осуществить эти действия».

Это возможно при соблюдении ряда условий. Прежде всего, все эти действия должны «осуществляться исключительно в отношении экземпляров программ для ЭВМ или баз данных, функционирующих на технических средствах пользователя».

Кроме того, информацию об обнаруженных недостатках запрещается передавать третьим лицам. Исключение составляют лишь правообладатель или лица, осуществляющего переработку ПО с согласия правообладателя.

Исследователь также должен в течение пяти рабочих дней уведомить правообладателя об обнаруженных недостатках. Исключение допустимо, если местонахождение правообладателя определить не удалось.

👋Привет! Это канал команды информационной безопасности VK. Здесь мы будем делиться новостями, анонсами мероприятий и ссылками на открытые вакансии. И конечно, обсуждать нашу программу Bug Bounty.

Встретились как-то три багхантера и пентестер…

Так бы мог начаться какой-нибудь анекдот, но нет – это про новый выпуск Портрет багхантера в подкасте «Рынок уязвимостей» от Global Digital Space.

Мы пригласили Юрий Ряднина (circuit), Алексей Трофимов (Kwel), Дмитрий Прохоров (ratel_xx), чтобы поближе познакомиться с их личными историями, узнать о том, что их больше всего мотивирует в Bug Bounty, а что приносит разочарование и «боль».

И конечно, в выпуске обсудили:
🔹 Триаж, программы и платформы
🔹 Раскрытие отчетов
🔹 Этика и конкуренция в сообществе
🔹 Новое поколение багхантеров
🔹 Советы начинающим от профи

Ведущий этого выпуска – Сергей Зыбнев, пентестер и основатель проекта poxek.

Смотрите выпуск на платформах:

📱 VK Видео | 📱YouTube | 📺 RUTUBE

Подключайтесь! Будет интересно как новичкам, так и профи. 👉

Любите совать кавычки куда-попало? Настало время ввести в поисковую строку вашего iphone/ipad следующие символы: ""::

Зачастую стоит задача получить IPA файл для тестирования iOS приложения, но файл вам не предоставили, а под jailbreak версию iPhone приложения просто-напросто нет. Но есть выход, как получить искомый IPA.

🌐🌐

Первый подкаст про Рынок уязвимостей в совокупности посмотрело более 30 000 человек

и мы не останавливаемся и продолжаем знакомить Вас с героями и инструментами по оценке защищенности

Новый эпизод подкаста "Рынок уязвимостей" | Проект «Кибериспытание»

☑Что такое «Кибериспытание» и зачем оно бизнесу?
☑Как компании тестируют свою безопасность без риска?
☑И что об этом думают CISO и хакеры?

Разбираем всё по полочкам с экспертами:
🔹 Вячеслав Левин (Генеральный директор «Кибериспытания»)
🔹 Руслан Сулейманов (Директор по цифровой трансформации Innostage)
🔹 Сергей Павлов (Заместитель генерального директора по ИБ Т-Страхования, член экспертного совета проекта)
Ведущий - Лука Сафонов (Основатель Bugbounty.ru)

Что обсудили:
🎯Почему проект «Кибериспытание» — это не просто очередной пентест или баг баунти?
🎯 Как компании проходят этот тест на прочность и что получают взамен?
🎯 В чем польза для CISO и бизнеса?
🎯 Как хакеры относятся к модели «оплата за результат»?
🎯 Насколько это реально безопасно для участников?
🎯 Почему для развития проекта нужна экспертиза всей индустрии?

Будет живо, остро и с реальными кейсами!

Выбирайте где смотреть:
📺 YouTube | 📺 VK Video |📺 RUTUBE

Полезные ссылки:
Кибериспытание
Innostage
BugBountyRu
Ссылка на статью, про которую говорили эксперты

🔔 подписывайтесь на канал, чтобы не пропустить новые выпуски подкастов

⚡️Что такое Bug Bounty, какие модели программ есть в мире и каковы перспективы развития?

Обсудили в новом выпуске подкаста «Безопасный выход» с Петром Уваровым, Head of VK Bug Bounty.

Смотрите подкаст и вы узнаете:

• какие самые крупные площадки Bug Bounty существуют в России;
• в чем разница пентеста и Bug Bounty;
• как много багхантеров в России, и сколько они могут зарабатывать;
• какие бонусы для своих багхантеров готовит площадка VK;
• какая ответственность предусмотрена для платформ Bug Bounty и багхантеров в России.

▶️VK Видео

▶️Rutube

▶️YouTube

🎼Podster

Делитесь своими впечатлениями в комментариях под видео!
#подкаст #БезопасныйВыход

Пример того, как должны выглядеть адекватные вилки критичности уязвимостей.

Максимальная выплата конечно маленькая, но если смотреть на low, medium и high, то это выше почти всех компаний у которых максимальная выплата 500к+.

🌐🌐

Без воды, только практика.
Без цензуры, только правда.
Всё, что вы хотели узнать из первых уст.

Мы запускаем серию подкастов

Рынок уязвимостей: как устроен рынок багбаунти в России | Эпизод 1

В первом эпизоде подкаста узнаем, чем сегодня живет «мир багбаунти» в России и исследуем, как эти программы трансформируют рынок кибербезопасности.
Обсудим, как компании используют багбаунти для повышения безопасности, какие ведущие платформы и инициативы существуют в России.

В гостях у Луки Сафонова
(основатель bugbounty.ru)

Андрей Левкин (Руководитель продукта BI.ZONE Bug Bounty) и
Анатолий Иванов (Руководитель платформы Standoff Bug Bounty)

Выбирайте, где смотреть

📺 YouTube

📱 VK

🔔RUTUBE

Полезные ссылки:
Standoff 360
Positive Technologies
BI.ZONE
BI.ZONE Bug Bounty
BugBountyRu
Киберполигон

В таблице Bounty pass#2: Olymp растет число призеров

Наступил сентябрь, дети вернулись в школу, а багхантеры втянулись в «олимпиаду» Bounty pass#2. В турнирной таблице Olymp уже 20 призеров!

Поздравляем новых олимпийцев 👏
🥇byq, cry и act1on3 уверенно ворвались в соревнование, а brain переместился на ступеньку выше
🥈 новый участник bratka
🥉сразу четыре новичка в этой категории ratel_xx, mrd0x1, savAnna, cutoffurmind

Напомню, что до окончания Bounty pass#2: Olymp осталось чуть больше месяца, еще есть время сдать свои отчеты в программу VK

Митап от одной из сильнейших ИБ команд в РФ: https://habr.com/ru/companies/vk/news/842222/

Три багбаунтеря. Андрей, Анатолий и еще один.

⚡Апдейт в таблице олимпийцев Bounty pass#2 от VK:
🥇mr4nd3r50n , al88nsk , adsec2s присоединились к kedr в строчке золотых призеров
🥈первое серебро забрал brain
🥉сразу 6 новых бронзовых медалей у arkiix, artebels , wob1s , zerodivisi0n , r0hack, mimicate
Поздравляем всех медалистов! 👏👏👏

Соревнование идет полным ходом - еще есть время отправить свой отчет в программу VK и взобраться на Olymp.🏆

Сотни, а может и тысячи багхантеров (с) продают зиродеи в КГБ через платформы багбаунти, а на вырученные деньги пьют водку с медведями.

Российские платформы bug bounty имеют высокую вероятность существенного роста в ближайшие несколько лет. Они предоставляют надежную западную альтернативу не только российским хакерам, но и всем другим исследователям уязвимостей, находящимся в странах, которые потенциально могут столкнуться с международными финансовыми санкциями в будущем.

С западной точки зрения потенциально проблемным развитием событий может стать то, что российские хакеры решат продать уязвимости, обнаруженные в западных продуктах, российским компаниям по приобретению уязвимостей нулевого дня, таким как [данные удалены]. Таким образом, вместо того, чтобы сообщать о них на западные платформы bug bounty бесплатно, они продают их тому, кто заплатит больше.

Эти компании по приобретению уязвимостей нулевого дня в свою очередь продают их российским правоохранительным органам и службам безопасности, что может привести к усилению шпионских кампаний в западных странах. Западным политикам было бы полезно следить за развитием российской экосистемы bug bounty.

https://www.csoonline.com/article/3487397/bug-bounty-programs-take-root-in-russia-with-possible-far-reaching-implications.html

Программа вознаграждения за безопасность от Google Play (GPSRP - Google Play Security Reward Program), как сообщает Google Bug Hunters закрывается в последний день лета 2024. В течение почти семи лет компания платила тем, кто находил уязвимости в приложениях Android, которые были доступны пользователям в Google Play .

В 2017 году, когда была запущена программа, число разработчиков-участников было ограничено. За время работы GPSRP их количество увеличилось. Участниками программы стали такие разработчики приложений Android, как Airbnb, Alibaba, Amazon, Dropbox, Facebook, Grammarly, Instacart, Line, Lyft, Opera, Paypal, Pinterest, Shopify, Snapchat, Spotify, Telegram, Tesla, TikTok, Tinder, VLC и Zomato и др.

По сообщению Google, данные об уязвимостях компания использовала для создания автоматизированных проверок, которые сканировали все приложения Google Play на предмет схожих уязвимостей. В 2019 году Google заявила, что это помогло более чем 300 000 разработчиков исправить более 1 000 000 приложений в Google Play.

Программу закрывают из-за значительного уменьшения числа уязвимостей в приложениях.

Я здесь, за эту улицу стою! Пацаны мне всё, и я всё пацанам! Кто меня знает, тот в курсе!

https://tv.rbc.ru/archive/chez/66c4d3882ae596b39746ab39