Rambler&Co выходит на публичную программу кибериспытаний
Или два события, за которые компания заплатит по достоинству.
💬 Rambler&Co, крупнейший медиахолдинг в России по объему аудитории цифровых ресурсов, выходит на публичную программу кибериспытаний. Для реализации доступны целых два недопустимых события, любое из которых сулит вознаграждение до 3 000 000 рублей.
Что это за события:
• Получение доступа к конфиденциальной информации через систему «1С» — например, к договорам, данным контрагентов или персональной информации сотрудников и пользователей.
• Вывод денежных средств компании. Исследователи должны сами инициировать транзакцию и провести ее через банк — для подтверждения достаточно вывести 2000 рублей.
Внимательно читай правила исследования на странице программы.
Заходи на Standoff Bug Bounty и пробуй доказать всем, что даже на самую сильную и крутую защиту найдется легендарный багхантер!
Или два события, за которые компания заплатит по достоинству.
Что это за события:
• Получение доступа к конфиденциальной информации через систему «1С» — например, к договорам, данным контрагентов или персональной информации сотрудников и пользователей.
• Вывод денежных средств компании. Исследователи должны сами инициировать транзакцию и провести ее через банк — для подтверждения достаточно вывести 2000 рублей.
Внимательно читай правила исследования на странице программы.
Заходи на Standoff Bug Bounty и пробуй доказать всем, что даже на самую сильную и крутую защиту найдется легендарный багхантер!
Please open Telegram to view this post
VIEW IN TELEGRAM
❤8🔥7👍4✍1🤣1
Прямое включение с кибербитвы Standoff 15
Юсуф аль-Хаджри, участник команды Insight Warriors из Омана 🇴🇲, делится впечатлениями об участии в Standoff 15 и рассказывает, что ему особенно понравилось — а что вызвало сложности и заставило немного попотеть.
Следить за ходом кибербитвы ты можешь на сайте — каждый день проходит насыщенно и жарко 🔥
Юсуф аль-Хаджри, участник команды Insight Warriors из Омана 🇴🇲, делится впечатлениями об участии в Standoff 15 и рассказывает, что ему особенно понравилось — а что вызвало сложности и заставило немного попотеть.
Следить за ходом кибербитвы ты можешь на сайте — каждый день проходит насыщенно и жарко 🔥
Сегодня — финал, но интрига сохраняется. У атакующих будет еще четыре часа на то, чтобы доломать все, что они хотели, а у защитников — не дать им этого сделать. В 15:00 завершится прием отчетов у красных команд, а в 17:00 — у синих.
В 19:30 мы подведем итоги Standoff 15 на научпоп-сцене KULIBIN киберфестиваля PHDays и узнаем, какие команды разделят призовой фонд в 50 000 $.
• Суммарно им удалось реализовать 272 критических события (144 — только за третий день), из них 44 уникальных, и обнаружить 797 уязвимостей.
• Лидирует DreamTeam (135 126 баллов). На втором месте — FR13NDS & RHACKERS (107 467 баллов). На третьем — cR4․sh (70 408). Полная турнирная таблица — на нашем лендинге.
Из интересного:
• Команда Dataeli&only_f4st из России 🇷🇺 реализовала первое межотраслевое критическое событие через SCADA-систему — остановку движения танкера-газовоза, спровоцированную нарушением работы газотурбинного двигателя.
• Самая пострадавшая отрасль — по-прежнему банковская (107 реализованных критических событий). Удастся ли превзойти показатели кибербитвы прошлого года на PHDays Fest (144 реализованных критических события)? Узнаем уже сегодня.
• Суммарно за три дня команды расследовали 231 критическое событие и обнаружили 1519 инцидентов, из которых 377 предотвратили.
• Больше всего критических событий расследовала команда B0dyContainS, защищающая банковский сектор, — 44.
• Команда Grep_Tribe (защищает городскую среду) предотвратила 119 инцидентов из 158 обнаруженных. Команда Busy Beavers (защищает металлургию) предотвратила 69 инцидентов из 118 обнаруженных.
• Новую отрасль кибербитвы — авиацию — защищают три команды: IDDQD Junior (расследовали 23 критических события и обнаружили 162 инцидента), ReKad Team (расследовали 26 критических событий и обнаружили 85 инцидентов) и Жаным }|{aHblm (расследовали 20 критических событий и обнаружили 118 инцидентов).
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥10❤2👍2
🏁 Итоги кибербитвы Standoff 15
Четыре дня противостояния завершились. Победители — награждены, бесценный опыт — получен!
🏆 Команды, разделившие призовой фонд в $50 000
1️⃣ Семикратным чемпионом кибербитвы Standoff стала DreamTeam (195 388 баллов). Приз за первое место — $20 000
2️⃣ FR13NDS & RHACKERS (127 466 баллов) — $10 000
3️⃣ Dataeli&only_f4st (103 870 баллов) — $5000
4️⃣ Cyb7rC0d3# (101 128 баллов) — $2500
5️⃣ cR4․sh (97 893 балла) — $2000
6️⃣ SPbCTF (89 219 баллов) — $1500
7️⃣ T.H.R.E.A.T. x LaCringe (67 745 баллов) — $1000
8️⃣ ChiLL Chain (58 540 баллов) — $500
Еще 7500 $ распределено между победителями специальных номинаций от жюри и технической команды кибербитвы.
За четыре дня 31 команда атакующих реализовала 383 критических события, из них 61 уникальное (почти половина из 123 возможных), и обнаружила 924 уязвимости.
Результаты защитников
Семь отраслей виртуального Государства F защищали 12 команд, 4 из которых работали в режиме реагирования (отмечены 🛡).
🛢 Нефтегаз
• BB (25 расследований, 98 обнаруженных инцидентов)
• Ctrl+Alt+Defend (57 расследований, 302 обнаруженных инцидента)
• LogCrushers (13 расследований, 72 обнаруженных инцидента)
• RubyTeam (5 расследований, 109 обнаруженных инцидентов)
✈️ Авиация
• IDDQD Junior (46 расследований, 190 обнаруженных инцидентов)
• ReKad Team (39 расследований, 121 обнаруженный инцидент)
• Жаным }|{aHblm (51 расследование, 132 обнаруженных инцидента)
🏦 Банковский сектор
• B0dyContainS (70 расследований, 21 обнаруженный инцидент)
🏙 Городская среда
🛡 Grep_Tribe (37 расследований, 186 обнаруженных инцидентов, из которых 143 предотвращены)
🚚 Логистика
🛡 Your_shell_not_pass (3 расследования, 53 обнаруженных инцидента, из которых 48 предотвращены)
🏭 Металлургия
🛡 Busy Beavers (20 расследований, 119 обнаруженных инцидентов, из которых 69 предотвращены)
🔌 Энергетика
🛡 GreenWallTeam АО «Гринатом» (13 расследований, 355 обнаруженных инцидентов, из которых 175 предотвращены)
Подробнее об итогах — на нашем сайте.
Четыре дня противостояния завершились. Победители — награждены, бесценный опыт — получен!
🏆 Команды, разделившие призовой фонд в $50 000
1️⃣ Семикратным чемпионом кибербитвы Standoff стала DreamTeam (195 388 баллов). Приз за первое место — $20 000
2️⃣ FR13NDS & RHACKERS (127 466 баллов) — $10 000
3️⃣ Dataeli&only_f4st (103 870 баллов) — $5000
4️⃣ Cyb7rC0d3# (101 128 баллов) — $2500
5️⃣ cR4․sh (97 893 балла) — $2000
6️⃣ SPbCTF (89 219 баллов) — $1500
7️⃣ T.H.R.E.A.T. x LaCringe (67 745 баллов) — $1000
8️⃣ ChiLL Chain (58 540 баллов) — $500
Еще 7500 $ распределено между победителями специальных номинаций от жюри и технической команды кибербитвы.
За четыре дня 31 команда атакующих реализовала 383 критических события, из них 61 уникальное (почти половина из 123 возможных), и обнаружила 924 уязвимости.
Результаты защитников
Семь отраслей виртуального Государства F защищали 12 команд, 4 из которых работали в режиме реагирования (отмечены 🛡).
🛢 Нефтегаз
• BB (25 расследований, 98 обнаруженных инцидентов)
• Ctrl+Alt+Defend (57 расследований, 302 обнаруженных инцидента)
• LogCrushers (13 расследований, 72 обнаруженных инцидента)
• RubyTeam (5 расследований, 109 обнаруженных инцидентов)
✈️ Авиация
• IDDQD Junior (46 расследований, 190 обнаруженных инцидентов)
• ReKad Team (39 расследований, 121 обнаруженный инцидент)
• Жаным }|{aHblm (51 расследование, 132 обнаруженных инцидента)
🏦 Банковский сектор
• B0dyContainS (70 расследований, 21 обнаруженный инцидент)
🏙 Городская среда
🛡 Grep_Tribe (37 расследований, 186 обнаруженных инцидентов, из которых 143 предотвращены)
🚚 Логистика
🛡 Your_shell_not_pass (3 расследования, 53 обнаруженных инцидента, из которых 48 предотвращены)
🏭 Металлургия
🛡 Busy Beavers (20 расследований, 119 обнаруженных инцидентов, из которых 69 предотвращены)
🔌 Энергетика
🛡 GreenWallTeam АО «Гринатом» (13 расследований, 355 обнаруженных инцидентов, из которых 175 предотвращены)
Подробнее об итогах — на нашем сайте.
🔥51🤡7❤5👍4🥱2🥰1👏1
О как… платформе Standoff Bug Bounty исполняется целых три года!
Три года назад, именно на сцене PHDays Fest, мы запустили платформу Standoff Bug Bounty. С тех пор — тысячи найденных уязвимостей, десятки компаний, которые стали безопаснее, и целое направление, которое в России никогда не было настолько популярным, как сейчас.
Мы рады расти, идти за своими мечтами и становиться увереннее и опытнее вместе с вами: исследователями, компаниями и коммьюнити. И мы добились многого, став локомотивами этого движения — хвалимся на карточках!
— Анатолий Иванов, руководитель Standoff Bug Bounty.
А 24 мая на главной сцене PHDays Fest «Ломоносов» прошла церемония награждения. Мы отметили компании, которые запустили свои багбаунти-программы и добились заметных результатов. Спасибо им за доверие и совместный рост!
Три года назад, именно на сцене PHDays Fest, мы запустили платформу Standoff Bug Bounty. С тех пор — тысячи найденных уязвимостей, десятки компаний, которые стали безопаснее, и целое направление, которое в России никогда не было настолько популярным, как сейчас.
Мы рады расти, идти за своими мечтами и становиться увереннее и опытнее вместе с вами: исследователями, компаниями и коммьюнити. И мы добились многого, став локомотивами этого движения — хвалимся на карточках!
Три года назад рынка багбаунти в России практически не существовало. Сейчас это — признанный инструмент зрелой кибербезопасности. И мы продолжаем первыми в России приносить новые идеи, форматы и практики.
— Анатолий Иванов, руководитель Standoff Bug Bounty.
А 24 мая на главной сцене PHDays Fest «Ломоносов» прошла церемония награждения. Мы отметили компании, которые запустили свои багбаунти-программы и добились заметных результатов. Спасибо им за доверие и совместный рост!
🥰17🔥12🎉8❤1
Курьер-партнер скоро будет, а ты пока ищи баги
Самокат, онлайн-магазин с доставкой продуктов и товаров для дома от 15 минут, выходит на багбаунти!
В скоупе — внушительный список целей: от мобильного приложения до инфраструктур. В общем, поле для охоты большое, как твоя продуктовая корзина на неделю.
Максимальная выплата за обнаруженный баг — 250 000 рублей!
Вместо того, чтобы ломать голову о том, что заказать на ужин, попробуй взломать Самокат🔥
Пощупать скоуп можешь на платформе Standoff Bug Bounty.
Самокат, онлайн-магазин с доставкой продуктов и товаров для дома от 15 минут, выходит на багбаунти!
В скоупе — внушительный список целей: от мобильного приложения до инфраструктур. В общем, поле для охоты большое, как твоя продуктовая корзина на неделю.
Максимальная выплата за обнаруженный баг — 250 000 рублей!
Вместо того, чтобы ломать голову о том, что заказать на ужин, попробуй взломать Самокат
Пощупать скоуп можешь на платформе Standoff Bug Bounty.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥21❤8👏2🤡2😁1
У нас есть обладатель priv8-билета!
В субботу, 24 мая, мы подвели итоги конкурса среди участников хакерских активностей в Киберхабе — и определили того самого заряженного, кто ворвался в топ рейтинга и заслужил билет на закрытую тусовку Standoff Bug Bounty.
Поздравляем @Ggwpkekwait!
Спасибо всем, кто участвовал в AI CTF, Sequest, Snatch и других активностях — респект! Вы показали свою крутость и инициативность.
Было мощно🔥
В субботу, 24 мая, мы подвели итоги конкурса среди участников хакерских активностей в Киберхабе — и определили того самого заряженного, кто ворвался в топ рейтинга и заслужил билет на закрытую тусовку Standoff Bug Bounty.
Поздравляем @Ggwpkekwait!
Спасибо всем, кто участвовал в AI CTF, Sequest, Snatch и других активностях — респект! Вы показали свою крутость и инициативность.
Было мощно
Please open Telegram to view this post
VIEW IN TELEGRAM
👍15❤🔥10🔥9👏2❤1
Исходники утекли, а хост Standoff Standalone вернулся
💥 Этот хост Standalone мы впервые выкатили на PHDays Fest, и вы нас буквально завалили восторженными отзывами. Поэтому — по вашим просьбам — он снова в паблике.
Немного легенды: в виртуальном государстве — новый скандал. Хакеры похитили исходный код EnterpriseConnect, флагманского сервиса видеосвязи STFware. Продукт считался одним из самых защищенных и активно использовался в Государстве F. Теперь под угрозой все — и данные, и доверие клиентов, а потенциальный урон колоссален.
🚨 Какие последствия?
• Целенаправленные атаки на клиентов.
• Репутационные потери.
• Финансовые убытки.
• Угроза инфраструктуре STFware.
🎯Ваша задача: украдите и прочитайте исходный код приложения EnterpriseConnect. В нем вы найдете флаг.
📡 Хост: devportal.standalone.stf (
Любители нашего Standoff Hackbase — налетайте и зарабатывайте баллы в рейтинге в перерывах между битвами🔥
Немного легенды: в виртуальном государстве — новый скандал. Хакеры похитили исходный код EnterpriseConnect, флагманского сервиса видеосвязи STFware. Продукт считался одним из самых защищенных и активно использовался в Государстве F. Теперь под угрозой все — и данные, и доверие клиентов, а потенциальный урон колоссален.
• Целенаправленные атаки на клиентов.
• Репутационные потери.
• Финансовые убытки.
• Угроза инфраструктуре STFware.
🎯Ваша задача: украдите и прочитайте исходный код приложения EnterpriseConnect. В нем вы найдете флаг.
📡 Хост: devportal.standalone.stf (
10.124.249.12)Любители нашего Standoff Hackbase — налетайте и зарабатывайте баллы в рейтинге в перерывах между битвами
Please open Telegram to view this post
VIEW IN TELEGRAM
🥰15👍7❤🔥3❤3👎2🥴1
Теперь отчеты не потеряются
Бывали моменты, когда вы сдавали баг, а в ответ — тишина? Теперь с этим покончено!
На платформе Standoff Bug Bounty появилась новая техническая фича: система автоматически напоминает компаниям о зависших отчетах.
🔔 Что именно она отслеживает:
• Отчет давно без ответа,
• Не взят в работу,
• По отчету не назначена выплата.
Обновление уже активно. Так что, если отчет в порядке, а фидбэк где-то застрял, — система подскажет, что пора двигаться.
Бывали моменты, когда вы сдавали баг, а в ответ — тишина? Теперь с этим покончено!
На платформе Standoff Bug Bounty появилась новая техническая фича: система автоматически напоминает компаниям о зависших отчетах.
🔔 Что именно она отслеживает:
• Отчет давно без ответа,
• Не взят в работу,
• По отчету не назначена выплата.
Обновление уже активно. Так что, если отчет в порядке, а фидбэк где-то застрял, — система подскажет, что пора двигаться.
🔥26😁10⚡7😍6🤡2👍1
Обновление банковской отрасли на Standoff Hackbase
Одну из старейших виртуальных отраслей на Standoff Hackbase — банковскую систему — ожидает масштабное обновление. Завтра, 4 июня в 17:00 (мск) она будет отключена для проведения технических работ.
С октября 2023 года вы искали в ней уязвимости, реализовывали критические события, проникали в системы и сдавали крутые отчеты. Скоро отрасль станет еще лучше!
🏅 Все участники, которые реализовали критические события в старом банке, чуть позже получат памятные ачивки. Ваши баллы и место в рейтинге Hackbase не изменятся.
Следите за новостями: уже в середине июля вас ждет обновленная банковская инфраструктура на Standoff Hackbase!
Одну из старейших виртуальных отраслей на Standoff Hackbase — банковскую систему — ожидает масштабное обновление. Завтра, 4 июня в 17:00 (мск) она будет отключена для проведения технических работ.
С октября 2023 года вы искали в ней уязвимости, реализовывали критические события, проникали в системы и сдавали крутые отчеты. Скоро отрасль станет еще лучше!
🏅 Все участники, которые реализовали критические события в старом банке, чуть позже получат памятные ачивки. Ваши баллы и место в рейтинге Hackbase не изменятся.
Следите за новостями: уже в середине июля вас ждет обновленная банковская инфраструктура на Standoff Hackbase!
❤14👍5
Разговор с топовыми багхантерами из Synack и HackerOne
🔎 Когда-то один из них ломал соседский Wi-Fi, а другой в детстве повелся на присланный другом вирус и начал разбираться, как же так вышло. Кто они сейчас?
Правильно: сегодня оба — признанные эксперты. Первый — лучший хакер Индии из Synack Red Team. Второй — основатель собственной компании и охотник за SSRF-уязвимостями в Apple.
Мы поговорили с Никсом (Nikhil Shrivastava) и Хуссейном (Hussein Daher), чтобы выяснить:
• с чего все началось и как они попали в багбаунти,
• какие уязвимости любят искать больше всего,
• как выстроили свой подход к работе,
• и что они советуют новичкам и тем, кто уже в теме.
🔥 Читайте статью на Хабре, чтобы узнать больше. Это не просто туториал, а честный разговор о профессии, которая кажется хакерской мечтой, а на деле требует системности, выносливости и изобретательности.
🔎 Когда-то один из них ломал соседский Wi-Fi, а другой в детстве повелся на присланный другом вирус и начал разбираться, как же так вышло. Кто они сейчас?
Правильно: сегодня оба — признанные эксперты. Первый — лучший хакер Индии из Synack Red Team. Второй — основатель собственной компании и охотник за SSRF-уязвимостями в Apple.
Мы поговорили с Никсом (Nikhil Shrivastava) и Хуссейном (Hussein Daher), чтобы выяснить:
• с чего все началось и как они попали в багбаунти,
• какие уязвимости любят искать больше всего,
• как выстроили свой подход к работе,
• и что они советуют новичкам и тем, кто уже в теме.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥9❤3😁2