Белых хакеров опять посчитали.

Ожидается, что к 2027 г. количество багхантеров, зарегистрированных на специализированных платформах, увеличится на 4 тыс. и составит около 24 тыс. человек, что на 27% больше, чем было в 2023 г. как в динамичном сценарии, так и в умеренном, - заявили эксперты Positive Technologies.

К сожалению количество, не значит качество, вот и Никита Назаров говорит о том же.

"Багхантером может стать каждый, для этого не требуется специальных знаний и навыков, нужно только зарегистрироваться на платформе. А вот квалифицированных этичных хакеров (white hat) все еще счетное количество, причем многие из них уже трудоустроены".

Это в целом снизит качество отчетов и загрузит триаж-команды.

https://www.comnews.ru/content/233733/2024-06-14/2024-w24/1008/belykh-khakerov-rossii-stanet-bolshe

Если черные хакеры все станут белыми, что будут делать производители СЗИ? Запустят лобби BHLM?

https://usmannkhan.com/bug%20reports/2024/06/17/sei-bug-report.html

The Sei Foundation awarded me $75,000 and $2,000,000 respectively for these reports.

Если у вас есть скам криптопроект, да еще и с такими выплатами - мы вас разместим в золотой рамке.

И снова апдейт от программы VK ✌️

Шкала выплат перевалила за 6 млн рублей, и вам теперь доступны новые события VK Bounty pass:
- повышение максимального вознаграждения по программе RuStore до 3.6 млн рублей
- XSS теперь оплачиваются в программах VK, где максимальное вознаграждение 360 тыс. рублей

Уже немного осталось до открытия финального события, держим темп!

Нужно мнение коммьюнити по критичности баги

Месяца 2 назад в мобильном операторе нашел логическую уязвимость в тарификации.

Что это позволяло делать?
- Можно было сделать на всех своих номерах все безлимитное (интернет, звонки, раздача интернета)
- Можно было раскручивать бесконечное количество интернета в роуминге, а интернет в роуминге не дешевый (Например, в ОАЭ 10мб=пару тыщ). И также это можно делать сразу на всех номерах.
- Все это можно раздать или вообще продавать, т.е. можно использовать массово.

Какая тут по вашему мнению критичность ?

Новое событие от VK ✌️

И это утроение выплат по программе VK Pay до конца Bounty pass #1: Progress.
⚡️Торопитесь, только до 21 июля максимальное вознаграждение в сервисе VK Pay составит 5,4 млн рублей, и это без учета вашего личного накопительного бонуса💪.
Проверяйте обновление цен на bugbounty.ru.
Еще чуть-чуть и узнаем, что нас ждем в финальном событии от VK😎

Подгон от Сергея "pohek" Зыбнева

Три богатыря и Bug Bounty. Сходили в кино на анимационный фильм "Три богатыря. Ни дня без подвига". Три короткие истории. Первая, думаю, ИБшникам зайдёт. 😉

Князь с подачи коня Юлия внедряет во дворце систему безопасности и объявляет багбаунти программу для выявления уязвимостей в ней: кто реализует успешное проникновение и реализацию недопустимого события (кражу короны), тот получит 100 сладких пряников.

В результате недопустимое событие реализуют, но за наградой никто не обращается. 😱🫣

Пришлось Алёше Поповичу проводить ресёрч как же злоумышленнику получилось обойти средства защиты. 😏

В итоге оказалось, что был реализован совсем не тот вектор, от которого защищались. 🤷‍♂️ Как это и бывает.

Мораль? 🙂 Тщательнее оговаривайте условия Bug Bounty программы. Она не обязательно должна быть публичной, зачастую приватная программа с ограниченным количеством проверенных участников (или даже обычный пентест) получается эффективнее и безопаснее. 😉

@avleonovrus #профдеформация #fun #BugBounty #pentest #мульт #дыбр

Всем привет!

🎊Шкала прогресс-бара BountyPass#1 от VK заполнена полностью, и вам доступны сразу два супер-события:

1️⃣ Повышается вознаграждения во всех программах VK (причем навсегда):
в большинстве программ увеличатся максимальные стоимости, например:
🔹SkillFactory в два раза - со 120 до 250 тыс. рублей
🔹VK Реклама на 50% - с 600 до 1 млн рублей
🔹VK Teams на 50% - с 1,2 до 1,8 млн рублей

а в топовых программах (Почта, Облако и Календарь Mail.ru, ВКонтакте, RuStore) будет увеличение в нескольких категориях. Подробнее можно ознакомиться на (https://bugbounty.ru/app/programs/vk/
)

2️⃣ Заработанный бонус этого сезона сохранится, и вы сможете продолжить его накопление в следующем BountyPass#2: Olymp

Желаем всем отлично отметить финал, отправив побольше репортов!

Google объявила о пятикратном увеличении выплат за ошибки, обнаруженные в системах и приложениях, в рамках программы вознаграждения за уязвимости. Теперь их максимальный размер составит $151 515.

«Поскольку наши системы со временем стали более безопасными, мы знаем, что поиск ошибок занимает гораздо больше времени — учитывая это, мы очень рады объявить, что увеличиваем суммы вознаграждений до 5 раз», — заявили в Google.

Так, за уязвимости RCE в наиболее конфиденциальных продуктах с модификатором 1,5x выплатят $101 010, а, если отчёт будет «исключительного качества», то сумма вырастет до $151 515.

https://bughunters.google.com/blog/5400513950908416/increasing-google-alphabet-vrp-rewards-up-to-151-515

Багхантер, когда отправил отчет по уязвимости #bugbounty

Жаркие споры сотен, а может и тысяч багхантеров РФ.

Сделаем так чтобы багхантеры диктовали правила на рынке багбаунти.

А то нынче сложилось мнение, что багхантеры - это люди, которые нуждаются в вендорах. А на деле все наоборот.

Вендоры платят 100к, защищая себя от многомиллионных потерь и репутационных рисков.

По факту, мы багхантеры для вендора дешевая рабочая сила, на данный момент, к сожалению, так есть.

Платформам тоже на данный момент выгоднее принимать только сторону вендора.

Изменится ли все в лучшую сторону для нас, для багхантеров?
Да! Грядут большие перемены!

Сегодня в программах VK стартует Bounty pass#2: Olymp⛰️
Что вас ждет в этот раз?

Бонус + бонус + бонус=♾️
Запоминаем главное: нет лимита на накопительный бонус - все бонусы суммируются! 🤩
Как это работает? Продолжает действовать +5% с каждым новым оплачиваемым отчетом, а те, кто успел накопить бонус с Bounty pass#1: Progress, начнут взбираться на Олимп вместе с ним. 🧗‍♂️

2 победителя - тот, кто сдаст максимальное количество уязвимостей и кто получит максимальную сумму вознаграждений до 21 октября. Эти двое заработают +10% для каждого оплачиваемого отчета на целый год!

Багхантеры соревнуются друг с другом в личном зачете
Лучшие получат уникальные наборы мерча:
• 🥇 за 10 оплачиваемых уязвимостей или общая сумма вознаграждений 1 миллион рублей
• 🥈 за 6 оплачиваемых уязвимостей или общая сумма вознаграждений 600 тысяч рублей
• 🥉 за 3 оплачиваемые уязвимости или общая сумма вознаграждений 300 тысяч рублей
Подробнее об условиях и таблице олимпийцев.

Желаю вам победы! 🏆

Зачастую, иследуя мобильные приложения можно найти интересные эндпоинты и данные, не стоит этим пренебрегать. Вот свежая статья по настройке SSL pinning на iOS и Android: https://habr.com/ru/articles/830492/

Пётр Уваров из VK провёл аналитику багхантеров: https://habr.com/ru/companies/vk/articles/830922/