Авито заплатит до 350 тыс. руб за уязвимость в рамках Bug Bounty

Авито заплатит до 350 тыс. руб за уязвимость в рамках Bug Bounty

Авито заплатит до 350 тыс. руб за уязвимость в рамках Bug Bounty

Авито готов платить белым хакерам до 350 000 рублей за уязвимость. Сервис разместил свою программу на BI.ZONE Bug Bounty. Это уже второй крупный клиент платформы за месяц. На прошлой неделе свои программы багхантерам там же предложил VK.

Авито просит проверить безопасность всех веб- и мобильных приложений компании, а также любых доступных приложений и сервисов, размещённых на поддоменах .avito.ru. Публичную программу компания разместила на платформе BI.ZONE Bug Bounty.

Багхантеры получат от 5 тыс. до 350 тыс. рублей в зависимости от критичности найденных уязвимостей.

“Bug bounty — один из самых важных и полезных процессов при разработке продукта, обеспечивающий его безопасность, — говорит руководитель продуктовой безопасности Авито Валентин Лякутин. — С помощью BI.ZONE Bug Bounty мы хотим наладить постоянное взаимодействие с комьюнити багхантеров по исследованию наших систем на безопасность и дополнительно повысить уровень защищенности портала”.

Это не первый опыт выхода “Авито” на bug bounty. В 2018 году компания разместила приватную программу на одной из зарубежных платформ. До весны этого года команда Авито успела запустить монетизацию этой программы и попробовать еще одну, комбинируя публичные и приватные механизмы.

“Размещение программы bug bounty Авито говорит о том, что компания заботится о своих клиентах и стремится повысить их защищенность, — комментирует новость директор по стратегии BI.ZONE Евгений Волошин. — Она понимает, что безопасность — конкурентное преимущество, поэтому уделяет этому особое внимание”.

Сейчас на Авито 120 млн активных объявлений, каждый день на платформу заходит 22 млн человек.

Добавим, в конце октября BI.ZONE подтвердил диалог с Минцифры по bug bounty и для Госуслуг.

А на прошлой неделю свою программу на платформе BI.ZONE bug bounty разместила компания VK. Белым хакерам предлагается проверить на уязвимости 27 проектов: от соцсети “ВКонтакте” до почты Mail.ru. Багхантеры могут заработать от 3 тыс. до 1,8 млн рублей.

Теперь у VK программы bug bounty сразу на двух платформах. Летом компания вышла на Standoff 365 Bug Bounty, разработчиком которой выступает Positive Technologies.

За три месяца VK получила 300 отчетов об уязвимостях. Более половины сообщений признаны существенными, выявленные уязвимости уже устранены.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Троян Shuyal Stealer ворует данные из 19 браузеров и исчезает без следа

В ИБ-компании Point Wild проанализировали образец Windows-стилера Shuyal, объявившегося в июле, и обнаружили внушительный список целевых браузеров — 19 наименований, в том числе Яндекс Браузер и Tor.

Свое имя написанный на C++ зловред (детектится на VirusTotal с результатом 48/72 по состоянию на 8 октября) получил по найденному в экзешнике идентификатору. От собратьев новобранец отличается не только большим количеством целей, но также умением заметать следы.

После запуска Shuyal Stealer прежде всего выполняет глубокое профилирование зараженной системы с помощью WMI: собирает данные жестких дисков (модель, серийный номер), подключенной клавиатуры (включая ID), информацию о настройках монитора, чтобы выстроить стратегию кражи данных сообразно конкретным условиям.

Троян также прибивает Диспетчер задач, способный выдать запуск вредоносных процессов, и прописывается в системе на автозапуск.

Кража данных осуществляется с помощью скриптов PowerShell. При этом зловреда интересует следующая информация:

  • сохраненные в браузере учетки, куки и история посещения сайтов;
  • содержимое буфера обмена;
  • токены аутентификации из Discord, Discord Canary и Discord PTB.

Инфостилер также умеет делать скриншоты, чтобы добавить контекст к украденным данным.

Вся добыча вместе с журналом вредоносной активности (history.txt) помещается в директорию runtime, специально создаваемую в папке временных файлов. Для эксфильтрации ее содержимое архивируется (runtime.zip) и затем отсылается в телеграм-бот, который Shuyal находит по вшитому ID.

Завершив кражу и вывод данных, Shuyal пытается стереть все следы своего присутствия в системе с помощью скрипта util.bat.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru