Bug hunters *

Облачный провайдер K2 Cloud (входит в экосистему К2Тех) объявил о запуске закрытой программы по поиску уязвимостей на площадке Standoff Bug Bounty. Проект сфокусирован на выявлении критически опасных угроз, включая компрометацию инфраструктуры, обход облачной изоляции и несанкционированный доступ к ресурсам клиентов. На старте программы максимальное вознаграждение за найденную уязвимость может достигать 300 000 рублей.

Осенью 2024 года Timeweb запустил публичную багбаунти программу на платформе Standoff Bug Bounty. За 8 месяцев работы компания получила более 250 отчетов о потенциальных угрозах разного уровня критичности, из которых 46 были подтверждены. Специалисты Timeweb устранили большинство найденных киберрисков, усилив безопасность инфраструктуры.

С августа 2024 года по август 2025 года белые хакеры в РФ заработали 268,9 млн руб., пишут «Ведомости» со ссылкой на данные платформ по поиску уязвимостей Bug Bounty от BI.Zone и Standoff Bug Bounty от Positive Technologies. Платформы позволяют размещать у себя программы для белых хакеров, которые могут получить вознаграждения за обнаруженные уязвимости.

Исследователь кибербезопасности с ником Eaton Z смог скачать почти 1 ГБ данных 270 тыс. сотрудников Intel с корпоративного сайта Intel India Operations, на котором персонал производителя чипов заказывает визитные карточки. Специалисту удалось обойти защиту через анализ кода JavaScript на странице входа сайта и изменить функцию getAllAccount. Сайт с визитками был одним из четырёх, на которых исследователь обнаружил серьёзные уязвимости безопасности.

Российский разработчик программного обеспечения «РЕД СОФТ» запустил приватную программу багбаунти на платформе Standoff Bug Bounty. Теперь независимые исследователи смогут проверить защищенность российской системы управления базами данных (СУБД) «РЕД База Данных» и в случае обнаружения и подтверждения уязвимости получить вознаграждение до 150 тысяч рублей.

Российский разработчик инфраструктурного ПО для enterprise-бизнеса Orion soft начал тестировать безопасность системы виртуализации zVirt в закрытом режиме в ноябре 2024 года, а теперь продлил свое участие в программе багбаунти. Ее основная цель — выявить уязвимости, которые могут привести к эскалации привилегий до уровня суперпользователя (root), нарушению конфиденциальности, целостности или доступности виртуальных машин и данных.

Компания поделилась первыми результатами участия в багбаунти-программе на платформе Standoff Bug Bounty.

C июля 2024 года по июнь 2025 года Microsoft выплатила рекордные $17 млн 344 исследователям безопасности из 59 стран в рамках своей программы вознаграждений за обнаружение уязвимостей. Исследователи представили почти 1,5 тыс. отчётов об уязвимостях. Максимальная индивидуальная награда достигла $200 тыс.

Pentest award уже третий год отмечает талантливых специалистов, которые делают огромную работу по поиску уязвимостей, оставаясь за кадром. С каждым разом в проекте появляется больше номинаций, участников и партнеров, что позволяет сообществу расти, делиться уникальным опытом и находить новые рабочие инсайты.

Программа багбаунти позволит проверить защищенность интеллектуальной платформы «ИРИС» («Интернет риск скоринг») — решения для анализа поведения пользователей в цифровых каналах. В область исследования входят два ключевых компонента «ИРИС» — личный кабинет и скрипт, собирающий данные о пользовательских сессиях. Максимальное вознаграждение за обнаружение уязвимостей составляет 125 тысяч рублей.

Новая версия предлагает исследователям безопасности больше возможностей для прокачки навыков анализа защищенности и поиска уязвимостей. Участникам доступны свежие задания, обновленная инфраструктура и специальный режим тренировок в формате сезонов. Такая практика подходит для пентестеров и специалистов red team, которым важно совершенствовать навыки наступательной безопасности в условиях, максимально приближенных к реальным.

Команда SOC «К2 Кибербезопасности» успешно прошла практику на онлайн-симуляторе Standoff Cyberbones компании Positive Technologies. Интеграция с продуктами компании и реалистичные кейсы с легитимной нагрузкой помогли аналитикам повысить квалификацию в расследовании инцидентов.

Во втором квартале 2024 года число атак в СНГ выросло в 2,6 раза, из них 73% пришлось на Россию (по данным Positive Technologies). В таких условиях подготовка специалистов SOC становится критически важной. Команда «К2 Кибербезопасности» выбрала Standoff Cyberbones, чтобы отработать навыки расследования инцидентов в условиях, максимально приближенных к реальным.

Третий этап программ багбаунти позволит эффективно защитить госсервисы и данные более чем 112 миллионов пользователей.

Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации объявило о старте третьего этапа проекта по поиску уязвимостей на платформе Standoff Bug Bounty. Рост числа пользователей и увеличение нагрузки на цифровые сервисы ведомства требуют постоянного мониторинга и поиска уязвимостей. Тысячи багхантеров смогут проверить защищенность ключевых ресурсов Минцифры — от Госуслуг до Единой биометрической системы. Максимальная награда за выявление критической уязвимости составит 1 млн рублей.

Рейтинг платформы HackerOne возглавил бот на базе искусственного интеллекта Xbow, сообщив о рекордном количестве уязвимостей в программном обеспечении крупных компаний. За разработкой ИИ-бота стоит одноимённая компания, которую возглавляет выходец из GitHub.

Бизнес-лаборатория цифрового развития КРОК заключила соглашение о партнерстве с нон-фикшн издательством Бомбора, входящим в крупнейший издательский холдинг ЭКСМО. Компании планируют совместно развивать профессиональную литературу в рамках клуба рецензентов и переводчиков Read IT Club – инициативы КРОК по улучшению качества переводов ИТ-литературы. 

Рецензенты Read IT Club – специалисты из КРОК и других крупных технологических компаний, на безвозмездной основе помогают издательствам с проверкой терминологии в переводах профильной иностранной литературы. Эксперты уже приступили к рецензированию первых книг от Бомбора – в мае вышло издание по теме информационной безопасности «Цифровой иммунитет», проверенное рецензентами клуба. 

На 28-м Петербургском международном экономическом форуме (ПМЭФ) с 18 по 20 июня состоится международная кибербитва Standoff. В этом году соревнования превратятся в киберучения, где сотни специалистов по информационной безопасности из 21 страны очно и онлайн будут расследовать инциденты, чтобы использовать полученный опыт для защиты своих компаний. Мероприятие пройдет на площадке «Территории инноваций» — проекта фонда «Росконгресс», направленного на развитие высоких технологий, науки и венчурных инвестиций.

В 2025 году на ПМЭФ компания Positive Technologies проведет кибербитву Standoff в специальном формате: на три дня легендарное киберсражение превратится в полноценные учения для синих команд. При таком формате ставка делается на отработку навыков расследования и защиты от атак, что критически важно на фоне роста числа целевых угроз. Участники 28 команд из Индии, Индонезии, Китая, Омана, Египта и других стран, включая представителей SOC и CERT, будут расследовать атаки на киберполигоне, где воссоздана IT-инфраструктура логистической и нефтегазовой отраслей. Кибератаки в виртуальном Государстве F максимально реалистичны: здесь в ходу настоящие системы SCADA и программируемые логические контроллеры.

На международном киберфестивале Positive Hack Days платформа Standoff Bug Bounty подвела итоги своей работы за три года. С момента запуска площадка привлекла почти 25 тысяч исследователей кибербезопасности из 60 стран мира. Общий объем вознаграждений за это время составил 242 млн рублей. На платформе было опубликовано свыше 100 программ по поиску уязвимостей, каждая из которых помогает повысить уровень защищенности бизнеса и государства. В субботу, 24 мая, в рамках пленарной дискуссии на главной сцене «Лужников» состоялась церемония награждения лучших компаний.

За три года, с мая 2022-го по май 2025 года, на Standoff Bug Bounty зарегистрировалось почти 25 тысяч багхантеров из 60 стран. География охватывает государства Азии, СНГ, Ближнего Востока, а также Европы, Африки и Латинской Америки. За последние полтора года число белых хакеров на платформе увеличилось более чем в три раза, а общее количество сданных отчетов (10,9 тыс.) — более чем в пять раз.

Максимальная сумма вознаграждения на платформе составляет почти 4 млн рублей. Это самая крупная награда среди отечественных площадок багбаунти.

Международная кибербитва Standoff 15 пройдет с 21 по 24 мая в рамках киберфестиваля Positive Hack Days в «Лужниках». В крупнейших соревнованиях по информационной безопасности примут участие более 40 команд атакующих и защитников из 15 государств, включая страны Европы, СНГ, Юго-Восточной Азии и Ближнего Востока. По итогам кибербитвы сильнейшие красные команды разделят общий призовой фонд в $50 000. Команды «синих» займутся расследованием живых хакерских атак и защитой отраслей, чтобы потом применить полученные знания в реальной жизни.

Участникам кибербитвы предстоит атаковать и защищать инфраструктуру виртуального государства. Она включает семь отраслей: металлургию, энергетику, нефтегазовую отрасль, банковский сектор, городскую среду, авиацию и логистику. У каждого сегмента будут свои физические макеты и обновленная система визуализации.

Заместитель председателя комитета Совета Федерации по конституционному законодательству и госстроительству Артём Шейкин направил заместителю главы Министерства цифрового развития Ивану Лебедеву предложения по регулированию деятельности «белых хакеров», пишет «Коммерсантъ». В частности, член верхней палаты российского парламента настаивает на создании формы сотрудничества таких специалистов с владельцами IT-систем, чтобы находить уязвимости и предупреждать о них без опасности наступления административной или уголовной ответственности.

OpenAI подняла выплаты по своей bounty-программе. Вознаграждение за обнаружение критических уязвимостей выросло в пять раз, с $20 000 до $100 000. Таким образом OpenAI рассчитывает привлечь лучших специалистов для проверки своих продуктов и сервисов.

Исследователям предстоит искать и реализовывать недопустимые события через возможные уязвимости в девяти продуктах компании: MaxPatrol SIEM, MaxPatrol VM, MaxPatrol EDR, PT Network Attack Discovery, PT Sandbox, PT MultiScanner, PT Application Firewall, PT Application Inspector, PT BlackBox. Размер вознаграждения будет зависеть от уровня опасности сценария. За реализацию самых опасных из них багхантеры могут получить до 2 млн рублей.