На PHD11 показали bug bounty на базе киберполигона The Standoff
Акция от Infosecurity! Обучайте сотрудников с выгодойПодключайте сервис TRAINING CENTER. Организацию и контроль обучения берем на себя:
• Разработаем индивидуальные шаблоны учебного фишинга.
• Сформируем учебные группы и проведем учебные фишинговые атаки.
• Проконтролируем процесс и определим результаты.

При заключении договора сроком на 1 год и более – сопровождение бесплатно.
Набор и стоимость услуг зависят от количества пользователей, и размер скидки уточняйте у менеджера.

Оставить заявку →
Реклама. Рекламодатель ООО «ИС», ИНН 7705540400, 18+

На PHD11 показали bug bounty на базе киберполигона The Standoff

На PHD11 показали bug bounty на базе киберполигона The Standoff

На онлайн-площадке The Standoff 365 запущена платформа bug bounty. Она упрощает сбор отчетов по уязвимостям и устанавливает правила игры для белых хакеров. Проект заработал 18 мая, в базе зарегистрировалось уже 360 белых хакеров.

На киберполигоне компании Positive Technologies помогает ГК Innostage. Тестировать платформу начали еще в ноябре. Создатели поддерживают идею публичных программ bug bounty: она позволяет проверить на прочность любую систему. Участие «этичных хакеров» с разным опытом и знаниями добавит компаниям достоверности и объективности в области ИБ.

«Программы bug bounty представляют собой набор условий — правил, политик, цен и границ поиска, в соответствии с которыми белые хакеры получают от организаций вознаграждение за уязвимости», — объясняет Ярослав Бабин, отвечающий в The Standoff 365 за продукт.

Платформа же bug bounty — это агрегатор, который объединяет на своей площадке сотни программ от организаций и компаний по безопасности. Им не нужно искать белых хакеров, те сами видят, кто именно проводит bug bounty и сколько готов платить.

Клиенты соглашаются, чтобы их «ломали», а хакеры — здесь их называют исследователями — обеспечивают эффективный поиск уязвимых мест, независимость и достоверность. Мотивация — интересные задачи, публичное признание и деньги. Платформа позволяет хакерам внести свой вклад в безопасность и честно заработать.

Ярослав Бабин сформулировал для Anti-Malware.ru два главных преимущества bug-bounty от The Standoff:

  1. Работа с конкретными событиями. Хакеру нужно найти не просто отдельную уязвимость, а выстроить цепочку событий. Клиент должен понять, насколько критично было обнаружить первую угрозу.
  2. Финансовая прозрачность платформы. The Standoff 365 не берет хакеров в штат, но будет платить налоги и следить, чтобы все конкурсные программы были оформлены грамотно юридически, а хакеры получили те деньги, о которых договорились с клиентом «на берегу».

Компании могут устанавливать свои правила bug bounty: сроки, границы исследований, форматы отчетов, суммы вознаграждений и права доступа. Программы могут длиться три месяца, полгода, нескольких лет или пока у клиента не кончатся деньги. Отчеты можно получать напрямую от хакеров или после того, как их проверят специалисты Positive Technologies. В будущем компании смогут выбирать: открыть тендер для всех или дать доступ пулу хакеров, которые уже находили «дыры» в приложениях и системах клиента.

Свои программы первыми на платформе bug bounty разместили «Азбука вкуса» и сами Positive Technologies. Через 20 минут после запуска был получен первый отчет об уязвимости. На момент публикации заявку на участие подали 12 исследователей.

 

«Азбука» просит взламывать сервисы на доменах и субдоменах av.ru и azbukavkusa.ru и поискать уязвимости в приложениях. Заказчик обещает заплатить даже за баг в дизайне, если хакер докажет, что брешь существенно влияет на конфиденциальность или целостность данных. Речь идёт о браузерах Chrome, Firefox,Safari, Opera, Edge и Internet Explorer.

Агрегатор баг-баунти от Positive Technologies планирует заполучить до конца года 1000 белых хакеров и 20 компаний. Создатели надеются, что к 2025-му число клиентов на платформе перевалит за сотню.

Напомним, неделю назад на AM Live прошел прямой эфир на тему bug-bounty. Обсуждали с экспертами, что это, как работает и сколько могут зарабатывать белые хакеры. Подробнее читайте в статье «Bug Bounty: как белым хакерам заработать в России на поиске уязвимостей».

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

В Петербурге задержали мошенников, которые использовали краденные аккаунты

Сотрудники уголовного розыска Петербурга задержали двух злоумышленников, которые взламывали учетные записи на портале Госуслуг (ЕПГУ) и оформляли кредиты в микрофинансовых организациях.

Злоумышленники, как выяснило издание 78.ru, действовали по отлаженной схеме.

Они скупали неактивные сим-карты, затем проверяли, привязан ли к ней учетная запись на ЕПГУ. В случае если телефонный номер был привязан к учетной записи, преступники получали данные жертвы, включая конфиденциальные, и начинали оформлять кредиты и рассрочки на сайтах маркетплейсов и микрофинансовых организациях.

После одобрения заявки злоумышленники выводили деньги на свои счета. Таким образом им удалось похитить около 500 тыс. рублей.

«В настоящее время установлена причастность задержанных к десяти эпизодам преступной деятельности. По каждому эпизоду были возбуждены уголовные дела по статье 159 УК РФ (мошенничество), которые в дальнейшем объединены в одно производство», — отмечают в пресс-службе ГУ МВД России по Петербургу и Ленинградской области.

В ходе обысков у двух фигурантов дела – 19-летнего петербуржца и 20-летнего жителя Псковской области – были изъяты сим-карты, оборудование и платежные карты. Также у одного из задержанных были найдены наркотические вещества.

В качестве меры пресечения подозреваемым избран домашний арест.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru