Rambler запускает bug bounty на платформе The Standoff 365

Rambler запускает bug bounty на платформе The Standoff 365

Rambler запускает bug bounty на платформе The Standoff 365

Медиахолдинг Rambler&Co “хантит” белых хакеров через платформу The Standoff 365 от Positive Technologies. Охотиться на баги нужно на порталах новостей и в почтовых сервисах. За критическую уязвимость обещают 100 тыс. рублей.

Публичная программа по поиску уязвимостей на Rambler стартует сегодня. Медиахолдинг запускает bug bounty на платформе The Standoff 365.

Исследователям предлагают протестировать 10 популярных ресурсов. Речь о сайтах изданий Лента.ру, Газета.Ru, Чемпионат, самом портале Рамблер, Рамблер/новости и Рамблер/почта. Полный список опубликован здесь.

“У Rambler&Co уже есть опыт использования подобной программы в закрытом режиме, когда приглашают участвовать ограниченное число исследователей, — сообщает пресс-служба. — В этот раз медиахолдинг открывает bug bounty для всех желающих, заявленные суммы вознаграждений варьируются от 2000 до 100 000 рублей, в зависимости от уровня критичности уязвимостей”.

Уязвимости типа RCE, SQL, SSRF вне критической инфраструктуры будут оцениваться ниже, говорится в описании самой программы. Из критической инфраструктуры должен быть доступен хост load.rambler-co.ru(10.99.2.96).

“Наши исследования демонстрируют растущий интерес киберпреступников к организациям медиаотрасли, — комментирует новость Ярослав Бабин, CPO The Standoff 365. Громкие атаки на СМИ в последнее время сигнализируют о том, что отрасли пора пересмотреть свое отношение к кибербезопасности. Ответственные компании, такие как Rambler&Co, осознают растущие риски и важность программ bug bounty. А наша платформа помогает им вовремя обнаруживать и устранять критически опасные бреши в сервисах — тем самым защищая пользователей”.

Rambler&Co станет шестым публичным клиентом в программах bug bounty от Positive Technologies. За четыре месяца существования на платформе зарегистрировалось 2 тыс. белых хакеров. Свои конкурсы уже разместили VK, “Азбука вкуса”, Skillbox и GeekBrains и сами Positive Technologies.

Добавим, на этой неделе Яндекс в десять раз повысил вознаграждения баг-хантерам на собственной странице “Охота за ошибками”. За найденную до 20 октября “особо ценную” уязвимость могут заплатить 7,5 млн рублей.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В продукте Security Vision VM появились blackbox и автономный агент

Security Vision представила обновлённую версию продукта для управления уязвимостями (VM), в которую вошёл ряд новых возможностей. Теперь система поддерживает blackbox-сканирование, может работать через автономного агента и расширяет покрытие платформ за счёт новых операционных систем.

Основные нововведения

В режиме blackbox система сканирует сервисы без использования учётных данных, определяя уязвимые версии программного обеспечения на хостах.

Такой подход позволяет находить уязвимости в популярных сервисах вроде OpenSSH, OpenSSL, Nginx, Apache, PHP, LDAP, MSSQL, PostgreSQL, Oracle, MySQL и других — без предварительного доступа к целевым системам.

Добавлен автономный агент, который устанавливается на изолированные или удалённые хосты. При появлении соединения с корпоративной сетью агент автоматически получает задания на сканирование и отправляет результаты обратно. Это позволяет охватывать даже те активы, к которым нет постоянного доступа.

В части платформенной поддержки появилась возможность сканировать iOS-устройства, а также дистрибутивы Linux SUSE, Alpine и Solaris.

Дополнительные улучшения

  • В режиме pentest появились новые проверки для SNMP, SSH, Telnet, SSL/TLS, RCE и web-уязвимостей.
  • Расширены возможности по использованию кастомных словарей для bruteforce.
  • В карточке уязвимости теперь отображаются альтернативные методы устранения (workaround), например, для уязвимостей Microsoft.
  • Реализована функция построения маршрутов достижимости активов с использованием данных из ACL и таблиц маршрутизации сетевых устройств (UserGate, «Континент», Cisco и др.). Это помогает оценить риски продвижения злоумышленника внутри сети.

Обновлённая версия направлена на повышение гибкости работы с уязвимостями и расширение контроля за защищённостью в корпоративных инфраструктурах — в том числе при наличии ограниченного доступа к хостам и разнообразной ИТ-среды.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru