8 миллионов рублей за безопасность. Как багхантеры укрепили защиту Т-Банка и Wildberries
NewsMaker30 исследователей из России и других стран провели двухнедельное тестирование систем защиты крупных компаний.
В ходе шестого международного Standoff Hacks участники подготовили почти 300 отчетов о найденных уязвимостях, усилив защищенность Т-Банка и Wildberries. В течение двух недель 30 исследователей из России и других стран тестировали ресурсы крупнейших технологических компаний. По итогам общая сумма выплат за подтверждённые находки превысила 8 млн рублей.
Standoff Hacks проходит в формате закрытого тестирования: багхантеры с площадки Standoff Bug Bounty анализируют реальные ресурсы компаний, выявляют ошибки и передают отчёты для их устранения.
Область исследования Т-Банка охватывала публичные ресурсы компании, доступные в рамках открытой программы багбаунти. На время мероприятия для исследователей были предусмотрены повышенные выплаты за найденные уязвимости. Чаще всего встречались технические баги, которые позволяли получить несанкционированный доступ (Broken Access Control (BAC)) и внедрить вредоносный код в веб-страницу (XSS). По итогам тестирования исследователи суммарно заработали 4,5 млн рублей, а максимальная награда за находку составила около 1 млн рублей.
Wildberries представила ресурсы публичной программы, а также дополнительные направления — OSINT и несколько новых сервисов в рамках мероприятия. Компания получила 175 отчетов, из которых 64 признаны валидными. Большинство уязвимостей относились к наиболее популярным типам — Sensitive Information Disclosure, Broken Access Control и Insecure Direct Object Reference. По итогам проверки Wildberries выплатил участникам около 3,5 млн рублей.
Максимальное вознаграждение в 500 тыс. рублей получили иностранные исследователи orwagodfather и m0m0x01d. Среди российских участников выделились kedr и rolegiv, заработавшие 350 и 300 тыс. рублей соответственно.
Мероприятие организовано командой Standoff Bug Bounty и объединило ведущих специалистов из разных стран. В этом году Standoff Hacks впервые прошёл одновременно с конференцией BSides Ahmedabad, где площадка выступила партнёром и получила статус Bug Bash Partner.
В ходе шестого международного Standoff Hacks участники подготовили почти 300 отчетов о найденных уязвимостях, усилив защищенность Т-Банка и Wildberries. В течение двух недель 30 исследователей из России и других стран тестировали ресурсы крупнейших технологических компаний. По итогам общая сумма выплат за подтверждённые находки превысила 8 млн рублей.
Standoff Hacks проходит в формате закрытого тестирования: багхантеры с площадки Standoff Bug Bounty анализируют реальные ресурсы компаний, выявляют ошибки и передают отчёты для их устранения.
Область исследования Т-Банка охватывала публичные ресурсы компании, доступные в рамках открытой программы багбаунти. На время мероприятия для исследователей были предусмотрены повышенные выплаты за найденные уязвимости. Чаще всего встречались технические баги, которые позволяли получить несанкционированный доступ (Broken Access Control (BAC)) и внедрить вредоносный код в веб-страницу (XSS). По итогам тестирования исследователи суммарно заработали 4,5 млн рублей, а максимальная награда за находку составила около 1 млн рублей.
Wildberries представила ресурсы публичной программы, а также дополнительные направления — OSINT и несколько новых сервисов в рамках мероприятия. Компания получила 175 отчетов, из которых 64 признаны валидными. Большинство уязвимостей относились к наиболее популярным типам — Sensitive Information Disclosure, Broken Access Control и Insecure Direct Object Reference. По итогам проверки Wildberries выплатил участникам около 3,5 млн рублей.
Максимальное вознаграждение в 500 тыс. рублей получили иностранные исследователи orwagodfather и m0m0x01d. Среди российских участников выделились kedr и rolegiv, заработавшие 350 и 300 тыс. рублей соответственно.
Мероприятие организовано командой Standoff Bug Bounty и объединило ведущих специалистов из разных стран. В этом году Standoff Hacks впервые прошёл одновременно с конференцией BSides Ahmedabad, где площадка выступила партнёром и получила статус Bug Bash Partner.