• О компании
  • Новости
  • Багхантеры заработали более 8 миллионов рублей, усилив защищенность Т-Банка и Wildberries
Новости

Багхантеры заработали более 8 миллионов рублей, усилив защищенность Т-Банка и Wildberries

Завершился шестой международный Standoff Hacks — мероприятие с участием лучших исследователей площадки Standoff Bug Bounty. В нем приняли участие 30 российских и иностранных специалистов, которые в течение двух недель проверяли на прочность системы Т-Банка и Wildberries. По итогам мероприятия участники сдали почти 300 отчетов о найденных уязвимостях, а общая сумма выплат превысила 8 млн рублей.

Standoff Hacks — это серия закрытых мероприятий с участием лидеров площадки Standoff Bug Bounty. В короткие сроки (до двух недель) команда сильнейших российских и иностранных багхантеров помогает выявить опасные уязвимости в системах компаний из различных отраслей. В этом году мероприятие впервые совпало с конференцией BSides Ahmedabad, где площадка получила статус Bug Bash Partner.

«Подобный формат позволяет привлекать к тестированию ресурсов исследователей безопасности со всего мира. Для российских компаний, готовых предоставить свой скоуп, это возможность привнести новые подходы, методы и свежий взгляд со стороны международного комьюнити. Сочетание опыта российских и зарубежных багхантеров повышает качество проверок, благодаря которым компании могут стать заметно устойчивее к глобальным угрозам».

Азиз Алимов
Азиз АлимовРуководитель Standoff Bug Bounty

В рамках Standoff Hacks исследователи тестировали ресурсы крупнейших технологических компаний — Т-Банка и Wildberries. За две недели участники сдали 298 отчетов об обнаруженных уязвимостях. За подтвержденные находки компании выплатили исследователям более 8 млн рублей.

Т-Банк — максимум выплат для исследователей

Область исследования охватывала публичные ресурсы компании, доступные в рамках открытой программы багбаунти. На время мероприятия для исследователей были предусмотрены повышенные выплаты за найденные уязвимости. Чаще всего встречались технические баги, которые позволяли получить несанкционированный доступ (Broken Access Control (BAC)) и внедрить вредоносный код в веб-страницу (XSS). По итогам тестирования исследователи суммарно заработали 4,5 млн рублей, а максимальная награда за находку составила около 1 млн рублей.

«Для Т-Банка как технологической компании участие в Standoff Hacks — это возможность усилить свою безопасность за счет тестирования скоупа исследователями со всего мира. Формат каждый раз подтверждает свою эффективность: синергия наших постоянных исследователей и новых иностранных участников позволяет находить больше уязвимостей, делая наши ресурсы защищеннее».

Елизавета Дудко
Елизавета ДудкоBug Bounty Lead

Wildberries — расширенный скоуп для багхантеров

Скоуп Wildberries включал ресурсы публичной программы, а также дополнительные направления — OSINT и несколько новых сервисов. Размер оплаты определялся в зависимости от важности находки и ее объема.

«В Standoff Hacks участвовали исследователи со всего мира, не формально, для галочки, а крайне активно. Благодаря такому формату нам удалось не только получить больше интересных уязвимостей, но и обменяться опытом с профессионалами совершенно разного бэкграунда — а это редкая удача».

Александр Хамитов
Александр ХамитовРуководитель направления продуктовой безопасности Wildberries & Russ

За 2 недели мероприятия компания получила 175 отчетов, среди которых 64 были приняты. Большинство уязвимостей относились к наиболее популярным типам — Sensitive Information Disclosure, Broken Access Control и Insecure Direct Object Reference. По итогам тестирования Wildberries выплатил багхантерам около 3,5 млн рублей. Максимальное вознаграждение (500 тыс. рублей) получили иностранные исследователи orwagodfather и m0m0×01d. Среди российских участников отличились kedr (350 тыс. рублей) и rolegiv (300 тыс. рублей).

Поделиться ссылкой

Может быть интересно