📢 Обещали сегодня рассказать, что там по итогам Bounty pass#1: Progress от VK — рассказываем.

1️⃣ VK уже опубликовали список из 40 победителей: 30 из них внесли самый большой вклад в Bounty pass#1: Progress, а 10 были выбраны случайным образом из остальных. Если видишь по ссылке свой ник, жди крутых призов.

2️⃣ Больше всего по программе VK на Standoff Bug Bounty за время ивента нахантил cutoffurmind. Вообще красавчик! Респект ему и наши поздравления 👏

3️⃣ Следующий ивент — Bounty pass #2: Olymp — идет полным ходом, и у тебя есть все шансы на победу, если в прошлый раз не повезло.

🛞 Помните «тачки» из «Безумного Макса»? Предлагаем собрать такие же, только виртуальные и с уязвимостями!

Для этого запускаем онлайн-хакатон, в котором может принять участие любой желающий — и получить респект от тысяч пользователей Standoff, которые будут эту «тачку» хакать.

Что нужно сделать? Все просто 😏

Создать сервис для онлайн-полигона Standoff в виде образа виртуальной машины с заложенной уязвимостью. Помимо самого сервиса, нужно придумать его легенду: как он будет использоваться и для какой сферы подойдет.

Какой профит вы получите 🤔

Лучшие сервисы мы разместим на онлайн-полигоне в одной из отраслевых инфраструктур, чтобы тысячи спецов могли тренироваться в выявлении и эксплуатации уязвимостей.

А еще разработчики лучших «тачек» разделят призовой фонд в 500 000 рублей и получат почет и славу в нашем уютном комьюнити.

Как принять участие 🔜

Нужно подать заявку до второго сентября — можно участвовать как самому, так и в составе команды до пяти человек. А 5 сентября начнется сам хакатон, который продлится до 29 октября.

Все подробности — на нашем сайте.

Да пребудет с вами hack! 🔥

😻 Навыками и полезными ссылками от матерых багхантеров на Bug Bounty: Getting Started мы с тобой уже делились, теперь настало время вендоров.

Спросили VK и Wildberries, что нужно делать, чтобы баги находились успешнее, отчеты принимались быстрее, а денег за все это давали побольше. Ну а они дали несколько советов, не всегда очевидных для начинающих. Читай и заходи в программы компаний на Standoff Bug Bounty, чтобы проверить, как работают их рекомендации.

🎁 Кстати, тех, кому впервые назначат баунти до конца 2024 года, ждет небольшой, но приятный сюрприз — налоговый бонус. Успей забрать его до 31 декабря!

🐾 Разыскиваются багозавры

Увидели в чате фотки ваших компаньонов по хакерским делишкам и решили, что хотим знать еще больше лиц мордочек тех, кто помогает вам.

Этот пост — специально для фоток ваших зверюг. И для наших 😼

2️⃣ Сколько багов ты сумеешь найти за два месяца в новой программе на Standoff Bug Bounty?

Что за программа? ATI.SU предлагает баунти до 250 000 ₽ за уязвимости, найденные в своих системах. Стартуем прямо сейчас, заканчиваем 12 октября.

ATI.SU — не просто транспортная биржа, а одна из крупнейших в России и СНГ цифровых экосистем сервисов для транспортной логистики. В ней заказчики и перевозчики могут размещать и искать заказы, проверять контрагентов, страховать и контролировать процесс перевозки, обмениваться документами и анализировать проделанную работу.

Широкая функциональность — широкий скоуп:

• ati.su,
• job.ati.su,
• trace.ati.su,
• userdata.ati.su,
• billing.ati.su,
• api.ati.su,
• help.ati.su,
• tm.ati.su,
• id.ati.su,
• d.ati.su,
• tenders.ati.su,
• trucks.ati.su,
• r1.ati.su,
• files.ati.su,
• loads.ati.su,
• faq.ati.su,
• about.ati.su,
• news.ati.su,
• adv.ati.su,
• chat.ati.su,
• academy.ati.su,
• zen.ati.su,
• а также приложение «АТИ Грузы и Транспорт» версии 221 (2.17.0) и выше для iOS и Android.

Ну что, ты в деле? Тогда поехали. Все условия — по ссылке.

🏆 Багхантеры Standoff Bug Bounty взяли первые золото и бронзу на Bounty pass #2: Olymp

🥇 kedr и 🥉 BlackFan вошли в топ-3 олимпийцев VK, заняв первое и третье места по итогам первых трех недель соревнования.

Удастся ли им так же успешно обходить соперников до конца сезона в октябре — загадка, поэтому будем периодически делиться новостями. Можно следить за обновлениями рейтинга и самостоятельно по ссылке.

Напомним, что олимпийцы-победители получат уникальные наборы мерча, а двое лучших (тот, кто набагхантит больше других, и тот, кто сдаст максимальное количество отчетов) — +10% ко всем выплатам по багбаунти-программам VK на целый год.

👉 Еще не поздно присоединиться к соревнованиям и занять верхние ступени пьедестала: bugbounty.standoff365.com/vendors/vk/

🪙 Нужно больше золота багхантеров — помогай!

Если идешь на «ИТ-пикник» в эту субботу, приводи на стенд Positive Technologies друга, который всегда хотел попробовать искать баги, но до сих пор не решался.

План простой:

1️⃣Он (или она) находит свою первую уязвимость на специальном багбаунти-стенде Standoff для новичков (самостоятельно или с твоей помощью).

2️⃣ Вдохновляется и втягивается в багхантинг, вооружившись нашими полезными советами для начинающих.

Тебе — удовольствие, другу — радость, комьюнити — польза.

Ты в деле? Регистрация на пикник пока открыта. Встречаемся в «Коломенском»!

🏦 2022 год: на кибербитве Standoff появилась банковская отрасль, состоящая из двух коммерческих банков и одного центрального.

💳 2023 год: добавились система быстрых платежей с возможностью оплаты по QR-кодам и третий коммерческий банк.

😈 Тот же 2023 год: отрасль стала доступна на онлайн-полигоне Standoff.

А уже в этом году все 24 критических события, которые заложены в банковском сегменте полигона (они взяты из реальной жизни), реализованы исследователями безопасности 😮

Как мы создавали и развивали банковскую отрасль, как она обновляется, а также как можно исследовать атаки красных в режиме 24/7 — специально для миллиардеров из Forbes рассказала Елена Молчанова, бизнес-лидер онлайн-полигона Standoff.

Если вы тоже чувствуете себя миллиардером — читайте материал на сайте издания.

🎶 В природе существуют плейлисты для бега, вечеринок, игры в контру и даже для решения задач по вышке…

А такого, чтобы под него круто было ломать онлайн-полигон или багхантить, мы не нашли и решили это исправить.

VeeZy предложил добавить в него музыку из мультсериала «Киберпанк», сircuit докинул композицию от Enjoykin, а SavAnna посоветовала сразу два альбома саундтреков из игры Enderal: первый и второй.

А ты под что любишь ломать? Делись годными треками в комментах.

🐱 Сколько начинающих багхантеров нужно, чтобы найти один баг?

Сходили на стенд Standoff для новичков на «ИТ-пикнике» и опытным путём выяснили, что от одного до пяти.

Ребят, гордимся вами, что вы все это делаете в одиночку!

Хочешь проверить, как справишься? Приходи на позитивный стенд. Ты узнаешь его из тысячи по огромной надувной фигуре разраба.

⚔️ Красные команды vs. PT Container Security (PT CS)

Каждая наша кибербитва — это не только сражение красных и синих команд, но и челлендж для продуктов Positive Technologies, которые помогают защитникам расследовать и отражать атаки.

В этот раз счет 1:1. На Standoff 13 красная команда (кстати, напишите в комментах, если это были вы!) смогла взломать облачную инфраструктуру хостинг-провайдера Nodenest в виртуальном Государстве F, а продукт для защиты контейнерных сред PT CS пофиксил kill chain на уровне рантайма.

🕙 У нас и пруфы есть — в новой статье на Хабре. Можно проверить: время в отчетах атакующих и в PT CS совпадает. Да и вообще интересно взглянуть на процесс с обеих сторон — глазами тех, кто ломает, и тех, кто фиксирует каждое их действие.

👉 Ищите все подробности в нашем блоге.