Белые хакеры заработали более 23 млн рублей на Standoff Hacks в Китае

В Шанхае завершился седьмой Standoff Hacks — международное ивент для бизнеса и багхантеров площадки Standoff Bug Bounty. Событие установило рекорд по выплатам независимым исследователям за всю историю проекта: участники заработали более 23 млн рублей в рамках исследования багбаунти-программ от VK, Т-Банка, «Инфосистемы Джет» и «1С-Битрикс». Такой результат позволил впервые превзойти выплаты live-hacking-ивента от международной платформы HackerOne (H1-361), который проходил в начале года в Индонезии. 

Standoff Hacks — это закрытые мероприятия формата экспресс-багбаунти, в которых участвуют независимые исследователи безопасности Standoff Bug Bounty. Событие проходит в гибридном формате: основная фаза проходит онлайн и длится до двух недель, на протяжении которых участники ищут уязвимости в системах компаний. Такой решение позволяет бизнесу оперативно оценить уровень защищенности своих решений и получить измеримый результат в виде обнаруженных находок. Офлайн-часть включает награждение победителей и живое общение между компаниями и багхантерами, которые в реальном времени делают продукты и сервисы безопаснее. 

В Standoff Hacks в Шанхае приняли участие 30 независимых исследователей. За 14 дней они отправили 353 отчета об уязвимостях разного уровня опасности, из которых 175 были признаны валидными и оплачены. Участникам удалось обнаружить 38 критически опасных уязвимостей (12 из них были подтверждены), а также 86 уязвимостей высокого уровня опасности, из которых 39 были приняты. Общая сумма выплат составила более 23 млн рублей, что в три раза превосходит показатели предыдущего Standoff Hacks в Индии.

Такие мероприятия наглядно демонстрируют, что партнёрство с исследовательским сообществом является важным и эффективным инструментом повышения киберзащищенности. Сегодня как никогда важно объединять усилия, обмениваться опытом и функционировать вместе, чтобы обеспечить защита и устойчивость виртуальный среды.

Иван Брюховецкий, сотрудник Генерального консульства Российской Федерации в Китае (г. Шанхай)

Независимые исследователи тестировали защищенность четырех крупных технологических компаний: VK, Т-Банк, «Инфосистемы Джет» и «1С-Битрикс». Исследователям были доступны как публичные, так и эксклюзивные программы. В частности, Т-Банк предложил публичную программу поиска уязвимостей и отдельную багбаунти-программу «Т-Банк Университет», VK — сервисы MAX и VK ID, «1С-Битрикс» — исследование защищенности облачного портала «Битрикс24», «Инфосистемы Джет» — классическую программу поиска уязвимостей, а также отдельную область тестирования, направленную на выявление недопустимых событий.

Победителем Standoff Hacks в Шанхае и обладателем титула самого результативного багхантера (MVP) стал исследователь r0hack. Второе место занял freeman, третье — BlackFan. Помимо этого, каждая компания отметила наиболее активных участников в своих программах.

Для бизнеса важным преимуществом в рамках Standoff Hacks становится выход на международный уровень за счет привлечения иностранных исследователей безопасности. Багхантеры работают с эксклюзивным скоупом и зарабатывают повышенные выплаты за ценные находки. Мы проводим мероприятия не только в России, но и развиваем инициативу по всему миру, расширяя географию нашего комьюнити. Ранее Standoff Hacks уже проходил в Индии и во Вьетнаме. Глобальный структура даёт возможность привлекать к поиску уязвимостей международное сообщество исследователей безопасности и по-новому взглянуть на области тестирования компаний.

Азиз Алимов, руководитель Standoff Bug Bounty