Новости

Белые хакеры заработали более 23 млн рублей на Standoff Hacks в Китае

В Шанхае завершился седьмой Standoff Hacks — международное мероприятие для бизнеса и багхантеров площадки Standoff Bug Bounty. Событие установило рекорд по выплатам независимым исследователям за всю историю проекта: участники заработали более 23 млн рублей в рамках исследования багбаунти-программ от VK, Т-Банка, «Инфосистемы Джет» и «1С-Битрикс». Такой результат позволил впервые превзойти выплаты live-hacking-ивента1 от международной платформы HackerOne (H1-361), который проходил в начале года в Индонезии.

Standoff Hacks — это закрытые мероприятия формата экспресс-багбаунти, в которых участвуют независимые исследователи безопасности Standoff Bug Bounty. Событие проходит в гибридном формате: основная фаза проходит онлайн и длится до двух недель, в течение которых участники ищут уязвимости в системах компаний. Такой подход позволяет бизнесу оперативно оценить уровень защищенности своих решений и получить измеримый результат в виде обнаруженных находок. Офлайн-часть включает награждение победителей и живое общение между компаниями и багхантерами, которые в реальном времени делают продукты и сервисы безопаснее.

В Standoff Hacks в Шанхае приняли участие 30 независимых исследователей. За 14 дней они отправили 353 отчета об уязвимостях разного уровня опасности, из которых 175 были признаны валидными и оплачены. Участникам удалось обнаружить 38 критически опасных уязвимостей (12 из них были подтверждены), а также 86 уязвимостей высокого уровня опасности, из которых 39 были приняты. Общая сумма выплат составила более 23 млн рублей, что в три раза превосходит показатели предыдущего Standoff Hacks в Индии.

1 Live-hacking-ивент — закрытое офлайн-мероприятие для багхантеров и компаний. Лучшие независимые исследователи безопасности собираются на одной площадке и в короткие сроки ищут уязвимости в системах компаний, получая вознаграждение за подтвержденные находки.

«Такие мероприятия наглядно демонстрируют, что сотрудничество с исследовательским сообществом является важным и эффективным инструментом повышения киберзащищенности. Сегодня как никогда важно объединять усилия, обмениваться опытом и работать вместе, чтобы обеспечить безопасность и устойчивость цифровой среды».

Иван Брюховецкий
Иван БрюховецкийСотрудник Генерального консульства Российской Федерации в Китае (г. Шанхай)

Независимые исследователи тестировали защищенность четырех крупных технологических компаний: VK, Т-Банк, «Инфосистемы Джет» и «1С-Битрикс». Исследователям были доступны как публичные, так и эксклюзивные программы. В частности, Т-Банк предложил публичную программу поиска уязвимостей и отдельную багбаунти-программу «Т-Банк Университет», VK — сервисы MAX и VK ID, «1С-Битрикс» — исследование защищенности облачного портала «Битрикс24», «Инфосистемы Джет» — классическую программу поиска уязвимостей, а также отдельную область тестирования, направленную на выявление недопустимых событий.

Победителем Standoff Hacks в Шанхае и обладателем титула самого результативного багхантера (MVP) стал исследователь r0hack. Второе место занял freeman, третье — BlackFan. Кроме того, каждая компания отметила наиболее активных участников в своих программах.

«Для бизнеса важным преимуществом в рамках Standoff Hacks становится выход на международный уровень за счет привлечения иностранных исследователей безопасности. Багхантеры работают с эксклюзивным скоупом2 и получают повышенные выплаты за ценные находки. Мы проводим мероприятия не только в России, но и развиваем инициативу по всему миру, расширяя географию нашего комьюнити. Ранее Standoff Hacks уже проходил в Индии и во Вьетнаме. Глобальный формат позволяет привлекать к поиску уязвимостей международное сообщество исследователей безопасности и по-новому взглянуть на области тестирования компаний».

Азиз Алимов
Азиз АлимовРуководитель Standoff Bug Bounty

2 Скоуп — область тестирования, перечень систем, сервисов и ресурсов, которые разрешено исследовать.