Баг-хантеры нашли 300 уязвимостей в Т-Банке и Wildberries, получили 8 млн
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Баг-хантеры нашли 300 уязвимостей в Т-Банке и Wildberries, получили 8 млн

Екатерина Быстрова 20 Октября 2025 - 13:27
...
Баг-хантеры нашли 300 уязвимостей в Т-Банке и Wildberries, получили 8 млн

Завершился шестой международный Standoff Hacks. В этом году участники взялись за ресурсы Т-Банка и Wildberries — и нашли почти 300 уязвимостей за две недели. Общая сумма вознаграждений превысила 8 миллионов рублей.

В Standoff Hacks участвовали 30 исследователей — из России и других стран. Формат предельно честный: две недели, открытый скоуп и реальные цели.

В этом году мероприятие впервые совпало с международной конференцией BSides Ahmedabad, где Standoff Bug Bounty получил статус Bug Bash Partner.

Т-Банк: рекордные выплаты и миллион за одну находку

Исследователи проверяли публичные ресурсы, участвующие в открытой программе Bug Bounty Т-Банка. В этот раз вознаграждения повысили, и результат не заставил себя ждать: за две недели специалисты нашли десятки технических уязвимостей — в основном Broken Access Control (BAC) и XSS.

В сумме баг-хантеры заработали 4,5 миллиона рублей, а максимальная награда составила около 1 миллиона рублей.

«Для нас участие в Standoff Hacks — это способ проверить систему под реальной нагрузкой исследователей со всего мира. Такой формат работает: синергия российских и зарубежных участников помогает находить больше проблем и делать сервис безопаснее», — рассказала Елизавета Дудко, Bug Bounty Lead Т-Банка.

Wildberries предложил участникам расширенный скоуп, добавив к публичной программе OSINT-направление и несколько новых сервисов. За две недели компания получила 175 отчетов, из которых 64 были приняты. Чаще всего исследователи находили утечки чувствительных данных (Sensitive Information Disclosure) и ошибки доступа (BAC, IDOR).

Общая сумма выплат составила около 3,5 миллиона рублей. Максимальные награды — 500 тысяч рублей — получили иностранные исследователи orwagodfather и m0m0x01d. Среди российских участников отличились kedr (350 тыс.) и rolegiv (300 тыс.).

«На Standoff Hacks было видно, что участники действительно погружаются в работу. Мы получили не только полезные отчеты, но и ценный обмен опытом с исследователями из разных стран», — отметил Александр Хамитов, руководитель направления продуктовой безопасности Wildberries & Russ.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Минцифры РФ хочет повысить требования к ПАКам, работающим с ИИ
Татьяна Никитина 22 Октября 2025 - 15:13
Соответствие законодательству РФ КорпорацииГосударство Соответствие требованиям регуляторов
Минцифры РФ хочет повысить требования к ПАКам, работающим с ИИ

Миннцифры России сформулировало новые требования к программно-аппаратным комплексам, предназначенным для работы с ИИ. Продукты, соответствующие этим нормам, смогут претендовать на внесение в реестр отечественного софта.

Разработанный в министерстве проект постановления правительства бы направлен на согласование в Минпромторг, а также производителям ПАКов — для обсуждения.

Комментируя новую инициативу для «Ведомостей», представитель Минцифры пояснил: специальные требования подготовлены с учетом нужд отрасли и направлены на поддержку российских разработчиков и вендоров технически сложных решений в сфере ИИ.

Согласно проекту постановления, производители ИИ-комплексов должны иметь собственные дата-центры в России мощностью не менее 10 МВт и обеспечивать производительность не ниже 100 петафлопс в формате FP4, оптимальном для работы с большими языковыми моделями.

В состав оборудования должны входить сетевые адаптеры на 800 Гбит/с или выше с поддержкой прямого доступа к ресурсам через RDMA. Требования к программному обеспечению: хранение не менее 1 эксабайта данных, возможность обучения моделей на 1000 GPU.

Дополнительных льгот для производителей таких ПАКов документ не предусматривает, однако, попав в реестр Минцифры (существующий, новый создаваться не будет), они смогут рассчитывать на господдержку и преференции при госзакупках.

Смогут ли участники рынка дотянуть до высокой планки, выставленной Минцифры, — большой вопрос. Такие под силу разве что крупным исследовательским центрам и таким игрокам, как «Яндекс» и «Сбер».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Атаки Mamont на Android в России выросли в 36 раз за 2025 год
Новость
Атаки Mamont на Android в России выросли в 36 раз за 2025 го...
Шифровальщик CyberVolk использует сбойный Nonce и губит данные навсегда
Новость
Шифровальщик CyberVolk использует сбойный Nonce и губит данн...
Айтишники чаще других приукрашивают свои навыки в резюме
Новость
Айтишники чаще других приукрашивают свои навыки в резюме

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.