Белые хакеры заработали более 23 млн рублей на Standoff Hacks в Китае
В Шанхае завершился седьмой Standoff Hacks — международное мероприятие для бизнеса и багхантеров площадки Standoff Bug Bounty. Событие установило рекорд по выплатам независимым исследователям за всю историю проекта: участники заработали более 23 млн рублей в рамках исследования багбаунти-программ от VK, Т-Банка, «Инфосистемы Джет» и «1С-Битрикс». Такой результат позволил впервые превзойти выплаты live-hacking-ивента от международной платформы HackerOne (H1-361), который проходил в начале года в Индонезии.
Standoff Hacks — это закрытые мероприятия формата экспресс-багбаунти, в которых участвуют независимые исследователи безопасности Standoff Bug Bounty. Событие проходит в гибридном формате: основная фаза проходит онлайн и длится до двух недель, в течение которых участники ищут уязвимости в системах компаний. Такой подход позволяет бизнесу оперативно оценить уровень защищенности решений и получить измеримый результат в виде обнаруженных находок. Офлайн-часть включает награждение победителей и живое общение между компаниями и багхантерами, которые в реальном времени делают продукты и сервисы безопаснее.
В Standoff Hacks в Шанхае приняли участие 30 независимых исследователей. За 14 дней они отправили 353 отчета об уязвимостях разного уровня опасности, из которых 175 были признаны валидными и оплачены. Участникам удалось обнаружить 38 критически опасных уязвимостей (12 из них были подтверждены), а также 86 уязвимостей высокого уровня опасности, из которых 39 были приняты. Общая сумма выплат составила более 23 млн рублей, что в три раза превосходит показатели предыдущего Standoff Hacks в Индии.
«Такие мероприятия наглядно демонстрируют, что сотрудничество с исследовательским сообществом является важным и эффективным инструментом повышения киберзащищенности. Сегодня как никогда важно объединять усилия, обмениваться опытом и работать вместе, чтобы обеспечить безопасность и устойчивость цифровой среды», — поделился Иван Брюховецкий, сотрудник Генерального консульства Российской Федерации в Китае (г. Шанхай).
Независимые исследователи тестировали защищенность четырех крупных технологических компаний: VK, Т-Банк, «Инфосистемы Джет» и «1С-Битрикс». Исследователям были доступны как публичные, так и эксклюзивные программы. В частности, Т-Банк предложил публичную программу поиска уязвимостей и отдельную багбаунти-программу «Т-Банк Университет», VK — сервисы MAX и VK ID, «1С-Битрикс» — исследование защищенности облачного портала «Битрикс24», «Инфосистемы Джет» — классическую программу поиска уязвимостей, а также отдельную область тестирования, направленную на выявление недопустимых событий.
Победителем Standoff Hacks в Шанхае и обладателем титула самого результативного багхантера (MVP) стал исследователь r0hack. Второе место занял freeman, третье — BlackFan. Кроме того, каждая компания отметила наиболее активных участников в своих программах.
«Для бизнеса важным преимуществом в рамках Standoff Hacks становится выход на международный уровень за счет привлечения иностранных исследователей безопасности. Багхантеры работают с эксклюзивным скоупом и получают повышенные выплаты за ценные находки. Мы проводим мероприятия не только в России, но и развиваем инициативу по всему миру, расширяя географию нашего комьюнити. Ранее Standoff Hacks уже проходил в Индии и во Вьетнаме. Глобальный формат позволяет привлекать к поиску уязвимостей международное сообщество исследователей безопасности и по-новому взглянуть на области тестирования компаний», — отмечает Азиз Алимов, руководитель Standoff Bug Bounty.
