1 марта 2023 года крупнейшая российская платформа багбаунти Standoff 365 запустила собственную публичную программу для поиска уязвимостей. Таким образом платформа готова открыто подтвердить защищенность своих сервисов и продемонстрировать заботу о безопасности клиентов. Багбаунти-программа Standoff 365 будет доступна для всех исследователей, а вознаграждение за наиболее опасные уязвимости составит 1 млн рублей.
В IV квартале 2022 года количество атак хакеров на IT-компании увеличилось на 18%. Сфера IT вплотную приблизилась к тройке лидеров в списке самых атакуемых отраслей. Злоумышленникам интересны IT-компании, поскольку их компрометация открывает путь для дальнейших атак на их клиентов — пользователей продуктов и сервисов.
«Запуск собственной программы поиска уязвимостей — серьезный шаг в развитии Standoff. Платформа содержит много данных, важных для нас и наших клиентов, поэтому запуск багбаунти позволит усилить защиту и подготовить команду разработки к тому, чтобы быстро менять процессы, находить и исправлять баги на раннем этапе. Мы готовы на своем примере показать всем, что багбаунти — это нестрашно и что поиск уязвимостей багхантерами не оказывает негативного влияния на работу сервисов», — сказал Анатолий Иванов, руководитель направления развития багбаунти Standoff 365.
В рамках багбаунти-программы Standoff 365 исследователям будут доступны все поддомены сайта платформы — standoff365.com, включая домены авторизации (auth.standoff365.com), багбаунти (bugbounty.standoff365.com) и киберполигона (range.standoff365.com). Суммы вознаграждения этичных хакеров зависят от степени опасности найденных уязвимостей и составят 1 миллион рублей за критически опасный уровень, 250 тысяч рублей — за высокий, 50 тысяч и 15 тысяч рублей соответственно за средний и низкий уровни.
Следующим шагом в развитии программы станет запуск багбаунти, нацеленной на реализацию недопустимых событий, и увеличение выплат багхантерам до 2 млн рублей. Кроме того, для мотивации исследователей платформа готова и на другие формы поощрения, включая мерч и приглашения на мероприятия.
Standoff 365 Bug Bounty (bugbounty.standoff365.com) была запущена компанией Positive Technologies в мае 2022 года. С тех пор от багхантеров получено 1200 отчетов, найдено больше 900 уязвимостей, а сумма выплаченных вознаграждений уже превысила 14 млн рублей. По числу участников и программ Standoff 365 Bug Bounty стала лидером среди отечественных аналогов: на ней зарегистрировалось 4000 человек и запущено 44 программы. Эта платформа также предлагает уникальный формат участия: она позволяет не только находить уязвимости, но и исследовать сценарии реализации недопустимых событий.