Платформа Standoff Bug Bounty выплатила хакерам 242 млн руб. за три года

Платформа Standoff Bug Bounty выплатила хакерам 242 млн руб. за три года

Платформа Standoff Bug Bounty выплатила хакерам 242 млн руб. за три года

На международном киберфестивале Positive Hack Days в «Лужниках» подвели итоги работы платформы Standoff Bug Bounty. За три года — с мая 2022 по май 2025 — к проекту присоединилось почти 25 тысяч исследователей из 60 стран.

За это время им выплатили 242 миллиона рублей за найденные уязвимости. Формально это хакеры, но с приставкой «белые»: они находят дыры в системах и сообщают о них владельцам, а не используют их в преступных целях.

Площадка показывает устойчивый рост. Только за последние полтора года число активных баг-хантеров увеличилось более чем втрое, а количество сданных отчётов перевалило за 10,9 тысячи — это в пять раз больше, чем было ранее.

Причём речь идёт не просто о повторяющихся находках — с ноября 2023 года в три раза выросло число уникальных отчётов, принятых клиентами, и серьёзных уязвимостей (их насчитали 520). По этим показателям платформа остаётся лидером среди российских аналогов.

Standoff Bug Bounty работает по классической модели: компания публикует программу, указывает, за какие уязвимости и сколько готова платить, а исследователи — ищут баги и присылают отчёты. Сейчас на площадке более 100 таких программ. Они касаются не только технических уязвимостей, но и возможных сценариев реализации «недопустимых событий» — то есть ситуаций, которые могут привести к серьёзным последствиям для бизнеса или государства.

Максимальное вознаграждение за одну уязвимость на платформе составило почти 4 миллиона рублей. Это рекорд среди отечественных систем баг-баунти. Средняя выплата за принятую находку — 58 тысяч рублей. В 2023 году больше всего отчётов поступило от ИТ-компаний, а в 2024 году — от ретейла.

Клиенты платформы — от малого бизнеса до крупных маркетплейсов, медиахолдингов и госструктур. При этом подход к безопасности постепенно меняется: компании чаще становятся открытыми к сотрудничеству с внешними исследователями.

Об этом, в частности, говорил руководитель платформы Анатолий Иванов на церемонии награждения, прошедшей 24 мая в рамках пленарной дискуссии на главной сцене фестиваля:

«В 2025 году платформе Standoff Bug Bounty исполняется три года. За это время вместе с владельцами программ и исследователями нам удалось не просто развить сервис, но и сформировать новый рынок, которого в России ранее не существовало. То, что ещё недавно воспринималось с настороженностью, сегодня становится стандартом зрелого подхода к кибербезопасности. Мы видим, как компании трансформируются, открываются сообществу, выстраивают эффективную работу с уязвимостями, становятся ориентиром для других. Церемония награждения лишь подчеркивает этот путь».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Google: взломать RSA-2048 можно за неделю с помощью 1 млн кубитов

Новое исследование, проведенное командой Google Quantum AI, показало, что квантовому компьютеру на 1 млн шумных кубитах потребуется 1 неделя для взлома 2048-битного ключа RSA. Это в 20 раз меньше ресурсов, чем предполагалось ранее.

Переоценка произведена с учетом успехов в оптимизации алгоритмов прогнозирования возведения в степень больших чисел по модулю, а также в области коррекции ошибок.

Со времени публикации алгоритма Шора, созданного для решения задач факторизации, оценку квантовых ресурсов, необходимых для взлома RSA-шифрования, проводили неоднократно, и значение каждый раз снижалось.

Так, в 2012 году было спрогнозировано, что RSA-2048 можно победить с помощью 1 млрд физических кубитов, в 2019-м этот порог был определен как 20 млн кубит.

 

Тем не менее это все чисто теоретические выкладки, современные квантовые компьютеры пока не в состоянии обеспечить нужную производительность и приемлемый уровень ошибок (0,1%).

Ни один из экспериментальных образцов не дотягивает до 1000 кубитов (в России предел пока 50 кубитов), хотя Microsoft недавно представила прототип 8-кубитного процессора на сверхпроводниках с возможностью масштабирования до 1 млн кубит на чипе.

Ключ RSA длиной 2048 бит пока считается безопасным, но, по прогнозам, с 2030 года этого будет уже недостаточно. К этому времени американский Институт стандартов и технологий (NIST) намерен признать все подверженные квантовому взлому криптоалгоритмы устаревшими, а после 2035 года запретить их использование.

В качестве альтернативы разработчикам, вендорам, провайдерам рекомендуется уже сейчас озаботиться переходом на квантово-устойчивое шифрование. Над соответствующими стандартами трудится NIST, и поддержку постквантовых алгоритмов уже предлагают Google, Microsoft, Apple.

По самым оптимистичным прогнозам, квантовые компьютеры, способные за считаные часы взломать любую криптосхему с открытым ключом, должны появиться через десять лет. К этому времени энтузиасты успеют еще больше усовершенствовать алгоритм Шора; так, два года назад китайские ученые создали аналог, пригодный для взлома RSA-2048 на 372 кубитах.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru