👉 VK запускает Bounty pass #2: Olymp

Теперь каждый из вас может получить олимпийские награды. Вот что ждет багхантеров:

👍 Накопительный бонус (+5% за каждый оплачиваемый отчет) сохраняется, а уже накопленный бонус переносится в Bounty pass #2: Olymp. Лимита нет: чем больше уязвимостей находишь по программам VK, тем больше зарабатываешь.

⬆️ Два лучших багхантера Bounty pass #2: Olymp получат увеличенный накопительный бонус — +10% для каждого оплачиваемого отчета на целый год!

📦 Багхантеры будут соревноваться в личном зачете за специальные награды от VK:

Золото: за 10 уязвимостей или 1 млн ₽ суммарных выплат.

Серебро: за 6 уязвимостей или 600 тысяч ₽ выплат.

Бронза: за 3 уязвимости или 300 тысяч ₽ выплат.

Рейтинг будет обновляться на страничке Bounty pass #2: Olymp. Результаты зачета объявят после 22 октября. Каждый олимпиец получит уникальный набор мерча.

Искать баги, зарабатывать и соревноваться: bugbounty.standoff365.com/vendors/vk

🔝 А победителей Bounty pass #1: Progress объявят 5 августа — узнаем, кто из вас поедет на мальчишник в Бангкок на конфу HITBSecConf2024 в августе.

🤑 Реализовать недопустимое событие и получить гигантское баунти сложно, но возможно. Главное — пробовать.

Один из наших багхантеров рискнул и теперь получит от Innostage награду в 100 000 рублей за реализацию промежуточного события в рамках программы открытых кибериспытаний на Standoff Bug Bounty.

Ребята запустили программу нового формата в мае этого года, цель для багхантеров — вывести деньги со счетов компании (это и есть недопустимое событие) за вознаграждение в размере 5 млн рублей.

Также Innostage предлагает выплаты за отдельные действия, которые могут вести к реализации недопустимого события. Багхантер смог скомпрометировать учетную запись, но закрепления на корпоративной рабочей станции не произошло. Зато произошла выплата 😉

Сможешь ли ты добраться до конечной цели и вывести деньги со счетов Innostage и заработать 5 млн рублей? Попробуй здесь: https://bugbounty.standoff365.com/programs/innostage/

P. S. Positive Technologies предлагает за реализацию схожего недопустимого события выплату в размере 60 млн рублей, все подробности — на сайте программы.

🎰 Как сыграть в наперстки и не проиграть получить свое первое баунти? Следи за руками.

1️⃣ Открываешь Bug Bounty: Getting Started.

2️⃣ Читаешь о трех новых навыках для начинающих багхантеров.

3️⃣ Изучаешь приложенные материалы.

4️⃣ Пробуешь, пробуешь, пробуешь…

5️⃣ Повторяешь этот же трюк через неделю, чтобы полностью изучить карту компетенций, которую мы составили специально для тебя.

Ловкость рук, никакого мошенничества и сплошная польза. Сам посмотри.

💵 Где взять полмиллиона? Влезть в кредит, сделать ставки на спорт, найти крит в багбаунти-программе Wildberries (по ссылке, кстати, их новый канал для багхантеров, подписывайся).

Компания увеличивает вознаграждение за найденные уязвимости любого уровня опасности во всех скоупах своей программы. Например, критические баги в основном скоупе стали стоить в два раза дороже (250 000 ₽ → 500 000 ₽), а вознаграждение за баги высокого уровня опасности увеличилось больше чем в три раза (60 000 ₽ → 200 000 ₽).

🏃‍♂️ Ты еще читаешь? А можно было уже начать багхантить. Часики-то тикают.

Больше о скоупах и новых размерах вознаграждения — в программе Wildberries на нашей платформе.

☹️ Если посмотреть этот кружок около двух тысяч раз, то вы как раз скоротаете время до нашего стрима

Делать это необязательно — можно просто зарегистрироваться заранее. И узнать из первых рук, как получать максимальные выплаты на багбаунти.

🤱 Расскажем, как команда триажа может помочь тебе дотюнить отчет, можно ли заработать на open redirect, а также зачем миллиардные компании запускают свои программы.

В гостях — Тимофей Черных aka dok64 (руководитель продуктовой безопасности в Ozon), Дарья Афанасова (руководитель группы триажа на Standoff 365 Bug Bounty) и Анатолий Иванов aka c0rv4x (идейный лидер багбаунти Standoff).

Регистрируйся, если хочешь, чтобы Толю выпустили из подвала, и задавай свои вопросы в комментах под постом — на них обязательно ответим на стриме 31 июля в 19:00 🫰

🚪 Хочешь набагхантить на айфон и новую тачку? Заходи в правильную дверь.

Никакого фейсконтроля и кодовых слов на входе. Просто вламывайся с ноги заглядывай на Bug Bounty: Getting Started и получай последние три из пятнадцати навыков, которые точно пригодятся исследователю-новичку.

Верим, что твой первый принятый баг-репорт уже не за горами, а пока можешь потренироваться и поискать на нашей карте компетенций пять спрятанных там пасхалок.

Сумеешь найти их все до 1 сентября? Пиши @k4riN44 — тебя ждет приятный сюрприз, который можно будет забрать в нашем офисе 😉

Дружеское напоминание: во-первых, стрим про триаж уже через полчаса, во-вторых, вот ссылка на него. Действуй 🤩

😴 Пока вы спите, VeeZy качается ломает онлайн-полигон Standoff.

И делает это так успешно, что уже реализовал все доступные на нем сейчас критические события!

Всей командой поздравляем нашего нового героя: он невероятно крут.

Друзья, присоединяйтесь к поздравлениям и пробуйте повторить подвиг.

📂 Объявляем полный дисклоуз

Теперь багхантеры и вендоры Standoff Bug Bounty могут по взаимному согласию раскрывать принятые репорты по багам, найденным в публичных программах. Чтобы это сделать, нужно нажать на кнопку в отчете.

👍 Давайте соберем на Standoff крупнейшую в России базу знаний о реальных атаках!

Если не хочется или нельзя показывать отчет целиком, пользуйтесь кастомными настройками публикации, чтобы прикрыть все, что под NDA.

Ну все, новости рассказали, можно тестить новую фичу. Ждем первых отчетов!