Standoff 365

Отгадай, что мы тебе принесли? Ух ты, да это же новость про апдейт Standoff Bug Bounty! 🤩

Самая важная фича этого релиза — возможность видеть и отслеживать изменения в интересных тебе программах 👀

Теперь, если компания меняет правила, скоуп или суммы вознаграждений, это будет заметно всем: мы подсвечиваем внесенные правки и оставляем в доступе и старую, и новую версии программы.

Чтобы не проверять обновления вручную, ты можешь подключить информирование о них в любой из программ и узнавать обо всем в числе первых.

❗️Для этого нажми на три точки, выбери «Настроить уведомления об изменениях» и отметь, какие из них тебе интересны.

Удобно? Удобно. Пользуйся!

📢 То, чего ты ждал весь год! Объявляем топ-25 лучших исследователей на Standoff Bug Bounty и на онлайн-полигоне.

Если ты видишь свой ник в списке, ждем тебя в московском офисе Positive Technologies 13 декабря в 16:15. В программе — вручение призов, тусовка и афтепати в баре.

За подробностями пиши Карине.

Когда все вокруг просто чилловые парни, а ты взял, набагхантил и попал на priv8-вписку Standoff Hacks в Ханое 😎

Хочешь с нами в следующий раз? Тогда регулярно ищи баги на нашей платформе и следи за новостями в канале.

К каждому ивенту мы готовим конкурсы, которые помогут тебе поломать эксклюзивный скоуп, попасть за наш счет на Standoff Hacks (каждый из них — уникальный), а также забрать главный приз 🏆

Скоро — больше контента из Ханоя, у нас его много 😏

Đây là chúng tôi ở Hà Nội tại Standoff Hacks! Đã phá vỡ mọi thứ, bây giờ đang trao đổi kinh nghiệm quốc tế.

Скоро поделимся подробностями, а пока все внимание на кружок с Толей 😃

Другие четыре причины ждем в комментах 👇

🏆 Финальные итоги международной кибербитвы Standoff 14

Это кибербитва получилась очень зрелищной, и кажется, что онлайн-формат этому даже поспособствовал! Международные команды показали рекордные результаты за всю историю Standoff — говорим спасибо каждому за проявленный интерес.

И самое время рассказать о победителях:

🥇 Команда DD0ST4R из Казахстана 🇰🇿 заняла первое место (79989 баллов*) и получает приз в размере 20 000 $.

🥈 Команда Baguette2Pain из Франции 🇫🇷 заняла второе место (73345 баллов) и получает приз в размере 10 000 $.

🥉 Команда mimicats из Казахстана 🇰🇿 — на третьем месте (69391 балл), ее приз — 5000 $.

Команды, занявшие места с четвертого по восьмое (Vantage Point Security из Индонезии 🇮🇩, PanBobr из Польши 🇵🇱, ChiLL Chain из Узбекситана 🇺🇿, С2 (Chisto na Chili) из Казахстана 🇰🇿 и Redteam VNPT-VCI из Вьетнама 🇻🇳), получат в качестве приза от 500 до 2500 $.

Кроме того, команды получают дополнительные призы в специальных номинациях:

• First Blood (первый отчет) — команда DD0ST4R (1500 $)
• Лучший дебют — команда ChiLL Chain (1500 $)
• Лучшая команда из Европы — Baguette2Pain (1500 $)
• Лучшая команда из ЮВА — Vantage Point Security (1500$)
• Превзошли наши ожидания — Redteam VNPT-VCI, 0xZ3rol0g1c из Казахстана 🇰🇿 и r3kapig из Китая 🇨🇳 (по 500 $).

Всего в битве приняли участие 48 команд, каждая из которых получила уникальный опыт и прокачала свои скилы. И теперь они могут начинать готовиться к масштабному Standoff 15 😏

Как справились защитники

🔌 Энергетика: на защите в режиме мониторинга и реагирования была команда Command and Defend из России 🇷🇺. Ей удалось расследовать все атаки (27), обнаружить 139 инцидентов, из которых 85 были предотвращены.

🛢 Нефтегазовая отрасль: на страже стояла команда Your shell not pass из России 🇷🇺. Ее участники расследовали все атаки (23) и обнаружили 157 инцидентов.

🏦 Банковский сектор защищала команда KARL?! из России 🇷🇺. Ей удалось расследовать 23 из 52 атак и обнаружить 86 инцидентов.

Международные команды защищали IT-отрасль:

• Secops Garage из Бангладеш 🇧🇩 расследовала 5 атак и обнаружила 58 инцидентов.

• Langit Biru из Индонезии 🇮🇩 расследовала 15 атак и обнаружила 178 инцидентов.

• CyPeaceJutsu из Вьетнама 🇻🇳 расследовала 7 атак и обнаружила 20 инцидентов.

• Coinhako из Вьетнама 🇻🇳 расследовала 16 атак и обнаружила 28 инцидентов.

• Pasukan Biru из Малайзии 🇲🇾 расследовала 15 атак и обнаружила 95 инцидентов.

• Et-Blue из Эфиопии 🇪🇹 расследовала 11 атак и обнаружила 16 инцидентов.

• UnitedSOCs (международная) расследовала 1 атаку.

• M53 Blue из Малайзии 🇲🇾 расследовала 27 атак и обнаружила 3 инцидента.

• CyberPatrol из Эфиопии 🇪🇹 расследовала 1 атаку и обнаружила 37 инцидентов.

• ProtectIT (международная) расследовала 1 атаку.

• SmurfVillage из Малайзии 🇲🇾 обнаружила 7 инцидентов.

Все команды защитников мощно себя проявили и смогли за несколько дней получить опыт, который обычно копится годами!

👀 Подробная итоговая таблица — на сайте кибербитвы.

Спасибо, что были с нами и следили за ходом противостояния из студии аналитики Standoff Insider ❤️

* — Команда получила штраф в размере 25% от заработанных очков за нарушение правил целостности соревнований. Два участника команды принимали участие в предыдущих кибербитвах и могли повлиять на итоговый результат

Live stream finished (1 hour)

🏁 Международная кибербитва Standoff 14 — все!

Подсчитываем итоги, объявляем победителей в 17:30 из студии аналитики Standoff Insider.

Подключайтесь онлайн (или смотрите прямо тут, в TG-канале)

Live stream started

🔮 Астрологи объявили время приятных сюрпризов от VK

На прошлой неделе ребята увеличили баунти по четырем своим программам, а на этой объявляют новую акцию.

✖️ До 28 декабря по всем программам багбаунти VK можно получить двойное вознаграждение за уязвимости класса IDOR.

Ищи баги, делай сервисы компании безопаснее и получай свои миллионы вознаграждение 💵

🔥 Подводим итоги третьего дня международной кибербитвы Standoff 14 и готовимся к финалу

До завершения противостояния остается всего несколько часов, а пока делимся результатами трех жарких дней битвы по состоянию на 21:10 мск.

👊 Что успели натворить красные

За три дня команды атакующих реализовали 149 критических событий, из которых 32 — уникальные. Суммарно они обнаружили 260 уязвимостей. Это рекордные показатели для международных команд, которые когда-либо принимали участие в Standoff 💪

В лидерах по-прежнему команда DD0ST4R из Казахстана 🇰🇿, на счету которой 19 реализованных критических событий, 16 обнаруженных уязвимостей и 81 217 баллов.

На втором месте — команда ChiLL Chain из Узбекистана 🇺🇿 (14 критических событий, 19 уязвимостей и 58 608 баллов), на третьем — Baguette2Pain из Франции 🇫🇷 (12 критических событий, 4 уязвимости и 58 201 балл). Заметили разрыв между вторым и третьим местом, заметили?

Наступают на пятки тройке лидеров команды Vantage Point Security из Индонезии 🇮🇩 (47 939 баллов), PanBobr из Польши 🇵🇱 (47 284 балла) и mimicats из Казахстана 🇰🇿 (43 593 балла). Интрига, кто разделит призовой фонд в 50 000 $, сохраняется. Подробнее о том, как награда будет разделена между победителями, мы расскажем в прямом эфире Standoff Insider и в посте с итогами.

😎 Чем порадовали синие

У защитников эти три дня тоже были напряженными: суммарно они расследовали 96 успешных атак и обнаружили 662 инцидента.

• Command and Defend из России 🇷🇺, которая участвует в битве в режимах мониторинга и реагирования в энергетической отрасли, расследовала 18 (из возможных 21) успешных атак. А также обнаружила 126 инцидентов, из которых 74 удалось предотвратить.

• Your Shell Not Pass из России 🇷🇺, защищающая нефтегазовую отрасль, расследовала 12 (из возможных 16) успешных атак и обнаружила 103 инцидента.

• KARL?! из России 🇷🇺, которая стоит на страже банковского сектора, расследовала 9 (из возможных 41) успешных атак и обнаружила 61 инцидент.

Международные команды защитников в кибербитве защищают IT-сектор. Больше всего расследований (15) провела команда Coinhako из Вьетнама 🇻🇳, больше всего инцидентов (152) обнаружила команда Langit Biru из Индонезии 🇮🇩. За три дня команда Pasukan Biru из Малайзии 🇲🇾 расследовала 9 успешных атак и обнаружила 79 инцидентов.

🏆 Финал — близко: узнаем победителей уже сегодня в 17:30 в прямом эфире из студии аналитики Standoff Insider.

👀 Следи за яркими событиями международной кибербитвы в неформальной обстановке

На время кибербитвы Standoff 14, 26–29 ноября, мы создадим аналитическую студию Standoff Insider, которая будет работать ежедневно с 17:30 до 19:00 по московскому времени.

Что тебя ждет

😎 Крутые гости и технические эксперты: те, кто уже участвовал в кибербитве, кто ее создает, и неравнодушные к ней специалисты.

📊 Подведение итогов каждого дня, прогнозы на финал, прямое включение российских и иностранных команд.

🧐 Техническое погружение в отраслевые сегменты: банковский и IT-сектор, нефтегаз и энергетику. От тех, кто их разрабатывал, и с комментариями участников.

🎤 Все это будут вести легенды Standoff Павел BlackRabbit Никитин и Иван BooL Булавин. В гостях — Егор Богомолов, Сергей Зыбнев, Олег Иванов, Тимур Молдалиев и другие слоняры звезды.

Подробности — на сайте кибербитвы (там же будет и трансляция). Поставь напоминание, чтобы не пропустить ничего интересного!

👻 Бу! Испугался? Не бойся, я Standoff Priv8 для Ozon

Мы проведем еще один закрытый онлайн-ивент, который начнется 2 декабря и продлится три недели: 25 топовых багхантеров получат доступ к приватному скоупу компании и возможность увеличить свои вознаграждения.

И ты можешь войти в их число!

Чтобы получить приглашение, тебе нужно с момента публикации поста и до 28 ноября найти как можно больше уязвимостей в публичном скоупе Ozon на Standoff Bug Bounty.

Приглашение уже получили 20 самых активных багханетров программы. Осталось всего пять мест!

Что ты от этого получишь

👁 Доступ к скоупу, который еще не исследовал ни один багхантер.

🐱 Возможность увеличить свои вознаграждения от Ozon на 20–50%.

💗 Сможешь стать частью закрытого комьюнити багхантеров компании.

Дочитал? А время уже пошло, ждем только твоих отчетов.

Осталось чуть больше двух недель до подведения итогов рейтинга на Standoff 365 (тут должен звучать финальный саундтрек из твоей любимой игры 🎶)

В этом году выбираем лучших в двух категориях: среди тех, кто лучше ломал онлайн-полигон и был успешнее на багбаунти.

Ты можешь успеть улучшить свои позиции по любому из направлений до 23:59 мск 30 ноября.

1️⃣Каждый, кто окажется в топ-3, получит мерч Standoff 365 с уникальной айдентикой и девайс, который поможет отвлечься от работы и отдохнуть, где бы ты ни оказался.

2️⃣ Всем из топ-10 тоже достанется особенный мерч и девайс, помогающий не выпадать из работы в любом месте и ситуации.

3️⃣ Если ты в этом году не дотянешь до десятки, не расстраивайся: ребята из топ-25 также не уйдут без подарков.

Мы выдадим каждому из 50 лучших ачивку на портале и пригласим на тусовку в наш офис, где 13 декабря подведем итоги, устроим раздачу призов и афтепати в баре.

⏱ Мы все рассказали, теперь самое время ломать!

🔍 Подробная карта событий Standoff 2024-2025

В этом году различного рода кибербитв стало настолько много, что участники соревнований начали путаться в их структуре и этапах. Поэтому мы подготовили краткий гид по ключевым мероприятиям 2024 года с пояснением того, как они взаимосвязаны. 😊

🟣Международные игры — это студенческая кибербитва, проходящая в два сезона (осенью и весной). Победители осеннего финала автоматически проходят на Standoff15 в мае, также часть участников проходит в весенний финал.

🟣Standoff 14 — ноябрьское классическое мероприятие, привлекающее иностранных участников. Оно получило международный статус, чтобы обеспечить более широкое участие команд. (В этом году нельзя участвовать странам из России и СНГ).


📌 С картой в хорошем качестве можно ознакомиться по ссылке:
Карта кибербитв Standoff 2024-2025

TaipanByte желает успехов всем участникам соревнований!🐍

🥇🥈🥉

А вот и финальные итоги Bounty pass#2: Olymp!

Призерами стали 26 багхантеров, включая двух уже ранее объявленных победителей.

Золото получили двенадцать олимпийцев, серебро — двое, бронзу — двенадцать. Посмотреть всех (и найти себя) можно в турнирной таблице.

Все багхантеры, взошедшие на олимп Bounty pass#2, получат:

🎁 уникальные наборы мерча от VK (в зависимости от завоеванной награды);

🎫 приглашение на новогоднюю вечеринку BB Advent Party (пройдет в Москве 19 декабря).

Шанс попасть на тусу VK еще есть. Все подробности — в этом посте.

👀 Каким будет Standoff 14

Мы продолжаем развивать нашу кибербитву не только в России, но и во всем мире, привлекая к участию команды из разных стран.

🥊 Главное в Standoff 14: о своем участии на стороне атакующих заявили 60 команд из 26 стран. На стороне защитников, которые будут расследовать атаки — 20 команд.

В этом году осенняя кибербитва пройдет полностью в онлайн-формате с 26 по 29 ноября.

Как обычно, красные будут крушить инфраструктуру виртуального Государства F. За четыре дня участники смогут круто прокачать навыки на реалистичных копиях ИТ-систем.

🎙 А еще мы организуем настоящую эфирную студию аналитики!

Каждый вечер вместе с легендами Standoff Павлом BlackRabbit Никитиным и Иваном BooL Булавиным мы будем подводить итоги прошедшего дня в неформальной атмосфере в рамках полуторачасовых стримов.

Все подробности — на сайте кибербитвы (там же можно поставить напоминалку о трансляциях).

❓ Любой начинающий багхантер задается вопросами, как хакать, с чего начать поиск уязвимостей и какие из них вообще стоит искать?

К тем, кто еще не нашел на них ответы самостоятельно, всегда готовы прийти на помощь более опытные товарищи.

Например, bytehope (спасибо ему ❤️) написал статью на Хабр об одном из самых распространенных багов — некорректной настройке прав доступа, она же Broken Access Control.

Читай, чтобы узнать, что это за уязвимость, к чему может привести, откуда берется, а главное — как отловить четыре вида такого бага в лабах Web Security Academy.

Теория, практика, лайфхаки — там есть все. Научился сам, передай ссылку другому новичку.

🎖 А вот и победители конкурса инвайтов, которые пакуют чемоданы и отправляются с нами на Standoff Hacks в Ханой!

За 12 дней соревнования лидерами стали:

💪 Kevgen — 5650 очков.
😎 Leofun — 5200 очков.

В ближайшие две недели участникам нашей priv8-тусовки предстоит ломать эксклюзивный скоуп с огромными и моментальными выплатами за найденные уязвимости!

🧳 А 30 ноября мы отправимся в увлекательное путешествие во Вьетнам, где погрузимся в мир фо, обменяемся опытом и знаниями, а также выпьем [информация пока неизвестна] литров пива.

Если вы не попали на наш priv8-ивент в этом году, то уже можете качать свои скилы на следующий — он пройдет весной, и мы, как обычно, будем устраивать новые конкурсы и разыгрывать инвайты. Stay tuned 😏

Chúc Hacks đồng hành cùng bạn!

🌆 Как быстро растут проекты! Нашему онлайн-симулятору Standoff Cyberbones уже почти два месяца.

Если ты еще не пробовал расследовать собранные там самые интересные инциденты с кибербитвы Standoff — самое время начать. Тем более, что доступ для зареганных пользователей — бесплатный в любое время дня и ночи 🕗

Но сначала прочитай обзор Ильдара Садыкова, руководителя отдела развития экспертизы киберучений и менторства Positive Technologies.

Ильдар рассказывает, как устроен интерфейс Standoff Cyberbones и подробно с картинками разбирает некоторые задания: атомарные инциденты и критические события, которые красные команды смогли реализовать на наших кибербитвах.

🧁 Так что, если хочешь потренировать свои навыки защиты, держи рабочие шпаргалки по расследованию фишинговой атаки, добавления вредоносной нагрузки в виде файла wtf.exe и критических инцидентов при помощи инструментов Positive Technologies, встроенных в симулятор.

Все подробности — в статье, читай и залетай на Standoff Cyberbones.

🏆 Без лишних слов подводим итоги финала осеннего сезона Международных игр по кибербезопасности

Таблицу с именами всех победителей ищи на сайте игр. А совсем скоро, вместе с участниками, расскажем, как прошли соревнования и что интересного там было 😎

🍿 Афиша Standoff Bug Bounty на сегодня: представляем премьеру публичной программы «Афиши»

В скоупе — два медиа и тикетинг-сервис:
*daily.afisha.ru
*eda.ru
*afisha.ru

🤔 Что-то знакомое? Да, правда, часть этого скоупа ты мог видеть у Rambler&Co. Но теперь у «Афиши» есть собственная программа багбаунти, что удобнее и для компании, и для исследователей.

А максимальное баунти по ней — 500 000 ₽ 🤑

Так что иди и смотри ищи баги. Все подробности рассказали на Standoff Bug Bounty.

Третий выпуск шоу «Хак Так» уже на Positive Hack Media! 🍿

В этот раз в студии белые хакеры Толя Иванов, Ярослав Бабин и Костя Полишин. И все тот же неподготовленный ведущий — Кирилл Шипулин.

В новом выпуске наши дерзкие ребята хейтят фильмы «Сеть» (не про рыбалку), «Взлом» (про Кевина Митника) и «Цикада 3301: Квест для хакера» (про секретную организацию из даркнета).

👎👍 Какие из них получили больше «Хаков», какие — «Таков», над чем больше всего угорали гости и какое отчество у Сандры Буллок — узнайте в выпуске на нашем YouTube-канале:

https://youtu.be/kGWZBTyjYRg
https://youtu.be/kGWZBTyjYRg
https://youtu.be/kGWZBTyjYRg

На других платформах опубликуем видос чуть позднее.

@PositiveHackMedia

💥 Совсем скоро состоится RedShift.Eclipse-2 - соревнование по кибербезопасности Attack-Defense в формате обороны (Blue-Team).
Очный финал пройдет 7 декабря 2024 года по адресу: г. Москва 1-й Щипковский пер., 23, стр. 1 (Колледж программирования и кибербезопасности РТУ МИРЭА)

Отборочный этап в формате online task-based CTF проводится с 12:00 3 ноября по 11:59 4 ноября 2024 года.

✅ Порядок участия:
- собрать команду из четырех человек;
- выбрать капитана;
- каждому участнику заполнить форму регистрации по ССЫЛКЕ (важно, чтобы каждый участник команды зарегистрировался, указав одинаковое название своей команды - одинаковый язык, регистр, спецсимволы);
- ждать и готовиться!

👥 Нет команды?
Еще есть время - в чате соревнования можно познакомиться с другими участниками и найти достойных сокомандников!

Узнал про Standoff. Посетил Standoff. Сделал себе свой Standoff. Повторил

Ребята, вдохновившись нашим форматом и заручившись поддержкой единомышленников из комьюнити, уже второй раз проводят свой собственный ивент, с макетом и ш... redshift-ами 👍

Такое мы любим. Будем следить за проектом и участниками.

🏆 Определены победители Bounty pass #2: Olymp от VK!

Вот эти ребята:

• mr4nd3r50n — сдал больше всего отчетов за сезон;

• act1on3 — получил самую большую сумму вознаграждений.

💸 В течение года (до октября 2025-го) они будут получать +10% к выплатам за найденные уязвимости в сервисах VK.

Окончательные итоги Bounty pass #2: Olymp будут опубликованы через две недели. Каждого олимпийца будет ждать уникальный набор мерча 🎁

🍸 Тем временем стартовало финальное событие юбилейного года от VK — Bounty pass #3: Advent (подробности в этом посте). У тебя есть шанс до 19 декабря урвать подарки из адвент-календаря и увеличить накопительный бонус. А еще мы дадим ачивку каждому, кто сдаст валидную уязвимость во время третьего Bounty pass на Standoff Bug Bounty.

[Искать уязвимости]

🧢 Продолжаем делиться с синими командами секретами успеха на кибербитве Standoff

В новом выпуске «АМ Подкаста» сборная защитников специалисты АО «Гринатом» рассказали, как участие в кибербитве помогает прокачивать навыки в сфере ИБ и решать другие практические задачи.

В эфире обсудили:

• как собрать команду и кого туда точно следует взять;
• что нужнее играющим в защите — опыт или горящие глаза;
• как правильно тренировать, мотивировать и брифовать участников;
• нужен ли вашей команде ментор и для чего;
• что важнее — успешный успех или приобретенный опыт;
• чем сердце успокоится что команда должна получить по итогам битвы.

Смотри и слушай подкаст там, где тебе удобно:
📺 YouTube | 📺 VK Video | 📺 RUTUBE

Сколько чашек кофе выпивает триажер и как на это число влияет количество отчетов? ☕️

Об этом в блиц-опросе Сергею Зыбневу aka poxek рассказала Дарья Афанасова, руководитель отдела триажа на Standoff Bug Bounty.

😘 Из него же ты узнаешь, на какой мульт похожа работа триажера, как изящно ответить багхантеру на запрос дополнительных 500 $ и почему поток нескончаемых уязвимостей лучше, чем один спокойный отчет.

Видос бережно забрали со странички VK Security.

✈️ Состязание за вписку на Standoff Hacks продолжается!

Как и обещали, подводим промежуточные итоги. Вот трое багханетров, которые ближе всего подобрались к поездке в Ханой с нами:

1️⃣ Kevgen (2 050 очков)
2️⃣ Leofun (1 500 очков)
3️⃣ zerodivisi0n (500 очков)

Если вдруг забыл, то за один крит мы даем 2000 очков на платформе Standoff Bug Bounty. Сейчас 34 отчета еще находятся в работе.

У тебе еще есть шанс до 29 октября залететь в лидерские позиции и получить возможность попасть на наш priv8-ивент 😎

Напомним, что по итогу конкурса с нами полетят двое багхантеров, которые суммарно наберут больше всего очков за найденные баги. Подробности ищи в первом посте.

Mọi chuyện xảy ra ở Việt Nam đều ở lại Việt Nam.

😶 Как онбордиться на Standoff?

Начали рассказывать об этом здесь и здесь, а теперь принесли тебе заключительную часть этой трилогии.

В ней Саша Антипина, капитан культовой команды Cult, поделилась тем, как правильно работать с полигоном и проходить отборочные.

Но, наверное, самое полезное, что есть внутри, — суперподробные инструкции по написанию баг-репортов на все случаи жизни для всех недопустимых событий.

🎁 Приятный бонус — чек-лист, который поможет проверить, готова ли твоя команда к кибербитве.

Читай сам и пересылай семерым друзьям.

2️⃣ Принесли тебе две очешуенные новости от Rambler&Co

Первая: с сегодняшнего дня программа багбаунти компании работает в режиме APT. То есть ты можешь получить вознаграждение 3 млн ₽ за реализацию одного из недопустимых событий.

✅ Вот, что ты можешь попробовать сделать:

1️⃣ Получить доступ к конфиденциальной информации (о договорах, контрагентах, объектах интеллектуальной собственности) и персональным данным работников и клиентов Rambler&Co с возможностью их выгрузки через приложение «1С».

2️⃣ Вывести 2000 рублей со счета компании на собственный счет. Ты должен инициировать транзакцию и провести ее через банк.

Скоуп — все ресурсы Rambler&Co. Запрещено использовать розетки и прочие устройства для физического подключения и атаковать партнеров.

На первом этапе APT-программа — приватка. Если хочешь доступ, пиши на [email protected].

Новость номер два: старая программа никуда не делась. Наоборот, компания расширила скоуп по ней и увеличила максимальный размер баунти до 500 000 ₽.

Теперь можно отдельно рассматривать уязвимости на основных медийных активах холдинга, доменах со спортивной тематикой, портале «Рамблер» и LiveJournal.

💲 Вознаграждение выросло не только по критам, но и по всем видам уязвимостей: за баг низкого уровня опасности можно получить до 5000 ₽, среднего — до 35 000 ₽, высокого — до 150 000 ₽.

Еще читаешь? А другие уже репортят! Присоединяйся!

🏁 Открыто финальное событие юбилейного года багбаунти от VK — Bounty pass #3: Advent!

На этот раз тебя ждут адвент-календарь, продление накопительного бонуса и ачивки на платформе Standoff Bug Bounty.

Делимся подробностями 👀

⏰ Bounty pass #3: Advent продлится до 19 декабря.

🎁 Багхантеры продолжат получать +5% к стоимости вознаграждения с каждым новым оплачиваемым отчетом, а также накапливать бонус с Bounty pass #1: Progress и Bounty pass #2: Olymp.

🗓 За каждый оплачиваемый отчет или за каждые 100 000 рублей в нем багхантер будет получать подарок из адвент-календаря. Внутри — уникальная мерчуха, промокоды и приглашения на вечеринку BB Advent Party (о ней чуть ниже).

🏆 Каждому, кто сдаст хотя бы один оплачиваемый отчет на Standoff Bug Bounty по программам VK во время Bounty pass #3: Advent, будет выдана ачивка на нашей платформе.

🕺 А 19 декабря пройдет новогодняя вписка BB Advent Party, на которую позовут:

• победителей Bounty pass #1: Progress и Bounty pass #2: Olymp, топ-20 призеров Bounty pass #1 Progress, а также всех олимпийцев Bounty pass #2: Olymp;

• всех, кто сдаст 3 оплачиваемых отчета или получит суммарную выплату на 300 000 рублей и более в Bounty pass #3: Advent до 10 декабря.

Искать баги по программам VK: https://bugbounty.standoff365.com/vendors/vk/

Успехов 🤩

👆 Багбаунти или пентесты?

Делись своей версией в комментах и слушай, что думают эксперты: они обсудили этот вопрос во время прямого эфира AM Live, посвященного offensive security.

Ольга Ринглер, руководитель группы исследовательских проектов Positive Technologies, и коллеги поговорили о том:

• какие методы наступательной кибербезопасности работают лучше остальных
• почему все больше прогрессивных компаний выходят на багбаунти для поиска уязвимостей
• как по максимуму использовать результаты работы красных команд
• как лучше всего наладить коммуникацию между атакующими и защитниками

💵 А самое главное — рассказали, каким образом не слить бюджет на offensive security в трубу.

Смотри на любой удобной платформе:
📺 YouTube | 📺 VK Video | 📺 RUTUBE

Всем вечер пятницы!
Доделал запись со стрима по инструментарию Standoff Cyberbones.

На киберполигоне ты сможешь, вооружившись инструментарием из видео, расследовать инциденты, чтобы лучше понимать, как выявлять подобные ситуации и реагировать на них в повседневной работе.

Приятного просмотра!

📺 RUTUBE | 📺 YouTube

🚀 Т-Банк расширяет программу на Standoff Bug Bounty! 🚀

Т-Банк добавляет новые возможности для исследования инновационных продуктов на основе технологий искусственного интеллекта как для физических лиц, так и для бизнеса. 🌟

### Продукты для физических лиц:
1. Умная камера — анализ изображений и видео с возможностью распознавания лиц и объектов.
2. Чат-боты поддержки и толк-бот— автоматизированная онлайн-поддержка для удобства клиентов.
3. T-Fusion —AI-инструмент для генерации изображений.
4. Ассистенты для физических лиц:
• Финассистент — ваш виртуальный помощник в управлении финансами.
• Шопинг-ассистент — рекомендации по покупкам и скидкам.
• Тревел-ассистент — планирование поездок и поиск лучших предложений.
• Секретарь — управление временем и задачами в одном месте.

### Продукты для бизнеса:
1. VoiceKit — AI-инструмент для автоматизации голосовых взаимодействий и поддержки клиентов.

🛡 Т-Банк ставит акцент на безопасность своих AI-решений и приглашает сообщество исследователей помочь находить и устранять потенциальные уязвимости.

Стань частью пути к более безопасному и инновационному будущему на платформе Standoff Bug Bounty! 💪✨

Все перечисленные продукты доступны в мобильном приложении Т-Банка для физических лиц.

Разумеется, пост про ИИ сгенерирован ИИ, так что баги можно поискать и в нем!

Завершаются отборочные этапы осеннего сезона Международных игр по кибербезопасности!

А это значит, что участники более чем из 50 учебных заведений сразятся за звание победителя уже в конце октября (с 30 по 31). Спасибо всем, кто принял участие в отборе! Давайте оставаться на связи и вместе менять индустрию. Теперь немного про финал.

📊 В финале будут представлены 30 команд атакующих и 24 команды защитников. Интуиция и паучье чутье подсказывают, что нас ждут интересная борьба и зрелищный финал. А мы пока готовим призы и еще раз благодарим участников отбора, вы большие молодцы! Финалистам желаем удачи, да прибудет с вами киберсила.

Список команд, прошедших в финальный этап, ищите на сайте Международных игр 🫡

Если остались вопросы, пишите нашему комьюнити-менеджеру Карине.

🙂 Больше подкастов богу подкастов

Сегодня — для синих команд и всех, кому интересно, что им может дать участие в нашей кибербитве Standoff.

В свеженьком AM Подкасте Елена Молчанова, лидер онлайн-полигона Standoff, Никита Каунов и Сергей Чернов, специалисты ФГУП «НПП „Гамма“», обсудили:

🔵Как собрать и подготовить к кибербитве команду защитников, а главное — объяснить руководству, зачем это нужно
🔵Что Standoff дает синим командам
🔵Какие рекомендации от бывалых пригодятся тем, кто собирается участвовать в первый раз

Как и всегда, предлагаем смотреть там, где тебе удобнее:
📺 YouTube | 📺 VK Video |📺 RUTUBE

😍 Đây là cơ hội của bạn để Đến Việt nam với Chúng tôi và tham gia Vào Standoff Hacks

Если ты не понял ничего, кроме Standoff Hacks, объясняем: следующий priv8-ивент для хакеров пройдет во Вьетнаме 30 ноября, и ты можешь полететь туда вместе с нами.

Как? Найди и сдай до 29 октября как можно больше багов по этим публичным программам:

• Positive Technologies (все программы)
• Standoff 365
• VK (все программы)
• Т-Банк
• Азбука вкуса
• Ozon
• Okko
• Wildberries
• Rambler&Co
• ATI.SU

2️⃣ Двоих багхантеров, которые с момента публикации поста наберут суммарно больше всего очков по этим программам, берем с собой в Ханой (за наш счет!). Трое топовых исследователей по очкам и выплатам уже в списке приглашенных, не хватает только тебя.

Будем подводить промежуточные итоги, чтобы ты видел результаты и оценивал шансы — свои и конкурентов.

Ну что? 3, 2, 1… го багхантить!

4️⃣ Четвертый эпизод: новая надежда триаж уязвимостей

Мы про новый выпуск подкаста «Рынок уязвимостей» от Global Digital Space, в котором Даша Афанасова, руководитель отдела триажа Standoff Bug Bounty, и ее коллеги — Петр Уваров из VK Bug Bounty и Елизавета Дудко из Т-Банка — обсудили триажные вопросы и боли багхантеров.

Например, поговорили:

💛о валидации отчетов на платформах и у вендоров и об отношении к их раскрытию;
💛ценообразовании на сданные баги;
💛реальных возможностях избежать дубликатов и отказов;
💛бонусах для охотников за привидениями багами и их мотивации.

Хочешь узнать, что эксперты ответили на провокационный вопрос о нехватке на рынке багхантеров и отсутствии у них нужных навыков, смотри подкаст на любой удобной платформе.

📱 VK Видео | 📱YouTube | 📺 RUTUBE

😆 Объявляем победителей хакатона hackнутых сервисов!

Со 2 сентября по 17 октября все участники активно разрабатывали свои уязвимые тачки. За это время мы провели четыре встречи, где вместе обсуждали появляющиеся проблемы и успешно их преодолевали, двигаясь к финалу.

❤️ Благодарим каждого, кто решил попробовать свои силы, и называем лучших среди них:

🥇 Первое место: 5hm3l
🥈 Второе место: Esc@peFr0mL0gic
🥉 Третье место: Impulse

Всех победителей ждут призы, и уже скоро созданные ими сервисы появятся на нашей платформе, где их можно будет попробовать сломать протестировать.

Но это не конец! Если у тебя есть годная идея уязвимого сервиса, мы готовы поддержать ее выплатами. Следи за нашими постами, а если хочешь рассказать обо всем уже сейчас, пиши Карине.

Написали вторую часть гайда о том, как выиграть на кибербитве Standoff. В этот раз рассказываем, что делать с внутренним периметром и АСУ ТП и какие навыки тебе пригодятся, чтобы пройти этого босса его.

Мы с парнями впервые участвуем в кибербитве

🤔 Вы багбаунтер?
🧠 Вы бигхантер?
😏 Вы багхантер?

Ответьте на этот вопрос тут 👉 https://habr.com/ru/specials/849390/

Мы хотим вместе с вами узнать, кто такие современные охотники за ошибками, как они стартовали в этой профессии и как выглядят их будни. Понять, какие есть сложности и как их можно решить. А еще как найти новых бойцов, чтобы пополнить наши ряды.

Этот опрос как для опытных ребят (как вы 🤩), так и для тех, кто вообще не знает что такое @bugbounty

🥑 Зеленые красные: кибербитва Standoff — это сложно.

💆‍♂️ Бывалые красные: да не то чтобы, главное во всем разобраться.

Чтобы помочь новичкам узнать, как выжить выиграть на кибербитве Standoff, Александра Антипина aka N3m351d4, капитан одной из лучших команд — Cult, составила исчерпывающий гайд для редтимеров.

🗺 Внутри — карта, которая поможет пройти увлекательное путешествие по устройству онлайн-полигона Standoff и узнать, как реализовывать недопустимые события и начать свой путь к званию сильнейшего белого хакера.

👑 Для самых внимательных в разделах гайда оставили 7 пасхалок, найдя которые можно получить королевскую ачивку на нашей платформе.

😠 Изучить гайд можно на нашем сайте. Сохраняйте в закладки и узнавайте все самое важное, что поможет вам успешно принять участие в кибербитве Standoff в 2025 году.

❕ Кроме того, более подробные разборы будут публиковаться на Хабре. Первый материал — уже опубликован в нашем блоге.

🤠 Дикий Запад, 2024 год. Вечереет. В бар заходят двое хакеров и специалист SOC в Standoff. Бармен бросает на них взгляд и говорит:

«Заходите, чужаки. Откуда сами будете? Слышали новость нашего городка?

Два топа комьюнити — BooL и mimicate — исключительно в образовательных целях (для того чтобы поделиться с вами подходами к исследованию безопасности) порешали в формате спродюсированного батла пару заданий на онлайн-полигоне Standoff. Наблюдал за ними Рэм, главный ковбой, а точнее руководитель группы продуктов безопасности Standoff: следил за их действиями через средстваа защиты информации и комментировал».

Бармен наливает три пинты пива 🍺🍺🍺. Вытирая пену со стаканов, он продолжает:

«Что вышло? Смотрите в четырех опубликованных стрим-записях. Все ролики идут в одном тайминге. Хочешь — смотри общий, хочешь — переключайся между экранами профессионалов и изучай их техники и тулзы».

Общая трансляция (Вид от лица Бармена)
BooL
mimicate
Рэм (Главный ковбой)

🔝 Можно ли быстро стать топовым багхантером?

Вообще, да. Бери пример с Олега Уланова aka brain, который за год ворвался в десятку сильнейших исследователей безопасности на Standoff Bug Bounty, а сейчас уже добрался до пятого места и останавливаться не собирается.

😏 Как не собирается и скрывать секреты своего успешного успеха. Вот, например, в статье на Хабре Олег рассказывает, как найти и зарепортить свою первую уязвимость с подделкой запросов на стороне сервера (SSRF).

Ты узнаешь, какие виды этого бага существуют, где и как его можно обнаружить и почему эту уязвимость стоит искать даже на статических сайтах.

▶️ Не хочешь читать — слушай запись стрима. А еще сложили в один плейлист видосы о других первых шагах в багхантинге, чтобы тебе не пришлось долго их искать.

Смотри, где удобно: 📺 YouTube | 📺 Rutube

✨ Хочешь получить доступ к приватным программам на платформе Standoff Bug Bounty?

Конечно хочешь. Вот короткая инструкция, что делать:

1️⃣ Перейди по ссылке и заполни небольшой опрос.

2️⃣ Попади в список из 50 счастливчиков с самыми классными навыками и опытом. Если пройдешь отбор, мы сразу же тебе напишем.

3️⃣ Ищи баги в свеженьком закрытом скоупе.

❗️ Важное условие: у тебя не должно быть ни одной приватной программы.

Еще читаешь? Бросай это дело — анкета сама себя не заполнит.

Знаете, что такое упущенная возможность? 😵😵😵

Это когда всё планировал подать заявку, даже сохранил пост себе в «Избранное», но в итоге пропустил дедлайн. И ощущается это как-то на 3 из 10. Зато воспользоваться возможностью ощущается на 10 из 10!

К чему это все? 🙂🙂🙂

К тому, что время, чтобы оставить заявку на участие в Международных играх, еще есть. Переходи на сайт мероприятия, чтобы схватить удачу за хвост и бустануть свою карьеру.

Зарегистрироваться можно до 20 сентября, включая утро, день и вечер, но не позднее. Потом возможность превратится в тыкву (осень же).

➕ Еще один подкаст про багбаунти? Почему бы и да!

В пилотном эпизоде встретились представители нескольких багбаунти-площадок и чуть не подрались поспорили о настоящем и будущем российского багхантинга. Не будем показывать пальцем, но от нас там был Анатолий Иванов aka c0rv4x.

Бонусом — забавный блиц-опрос c Толей, который мы прикрутили к посту.

Смотри и слушай подкаст целиком на любой удобной площадке:
📺 YouTube | 📺 Rutube | 📺 VK Видео

И ставь 🦄, если любишь багхантить!

🙂 Стоит ли участвовать в кибербитве Standoff? Ну, мы точно скажем, что да.

А если хочешь узнать мнение участников из синих и красных команд, подключайся к прямому эфиру AM Live 24 сентября в 11:00.

Бывалые защитники и атакующие расскажут, что дает им кибербитва, на какой стороне интереснее в ней участвовать, какие тактики, техники и инструменты обороны и нападения работают лучше всего (а какие — пора оставить в прошлом).

Мы активно готовимся к Standoff 14 и скоро поделимся всеми подробностями. Спойлер: защитников в этом году будет ждать больше челленджей от иностранных команд 🤫

💡 Лайфхак: если зарегаться по ссылке прямо сейчас, то точно ничего не пропустишь: перед началом эфира тебе пришлют напоминание.

Какие новости принес нам понедельничный вестник? Отличные! 🔥

Мы продлеваем прием заявок на международные игры по кибербезопасности до 20 сентября.

🔮 Кажется, это тот самый знак для тех, кто почему-то только сейчас заинтересовался играми, и для тех, у кого 20-е число — это счастливое число, и для тех, кто в понедельник начинает новую жизнь.

Оставляй заявку, не откладывай ◀️