Всем привет👋
Делимся отличным кейсом по AI-автоматизации от коллег из команды RuStore⬇️ ⬇️ ⬇️
Делимся отличным кейсом по AI-автоматизации от коллег из команды RuStore
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from RuStore Dev
Как ускорить работу ИБ-команды и не утонуть в рутине 🪲
Большая часть работы ИБ — это не «охота за хакерами», а операционка: разбор задач, ревью кода, проверка релизов. Она тоже важна, но отнимает время у того, что действительно требует экспертизы специалиста.
ИБ-команда RuStore сделала ставку на AI-автоматизацию, чтобы разгрузить команду и ускорить процессы. И не прогадала.
Что внедрили:
🔹 сервис для первичного ревью Security Check-задач
🔹 AI Code Review для поиска типовых уязвимостей
🔹 AI DAST — мультиагентную систему динамического тестирования
Как это всё встраивали в процессы, какие ограничения встретили и какие результаты получили, рассказали на Хабре.
🔗 Читать
#RuStore_Habr
Большая часть работы ИБ — это не «охота за хакерами», а операционка: разбор задач, ревью кода, проверка релизов. Она тоже важна, но отнимает время у того, что действительно требует экспертизы специалиста.
ИБ-команда RuStore сделала ставку на AI-автоматизацию, чтобы разгрузить команду и ускорить процессы. И не прогадала.
Что внедрили:
Как это всё встраивали в процессы, какие ограничения встретили и какие результаты получили, рассказали на Хабре.
#RuStore_Habr
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥9👍4🤪1
Технологии безопасности Big Tech #8
➡️ В 2024 году в одном из публичных репозиториев VK обнаружили уязвимость в GitHub Workflow: триггер pull_request запускал CI/CD-сценарий с правами и секретами базовой ветки, что позволяло внешнему исследователю получить привилегированный доступ — от слива секретов до подмены артефактов.
Оперативная митигация проблему решила, но стало ясно: точечные правки не работают, нужен системный подход.
Как именно команда ИБ провела аудит 57+ экшенов, категоризировала векторы атак, разработала харденинг, автоматизировала мониторинг и в итоге создала собственный сервис MGSA — в нашем новом видео рассказывает Владислав Верусь, старший инженер по безопасности инфраструктуры соцсетей VK.
🍿 Ссылка на видео
А как в вашей компании организован аудит безопасности GitHub-репозиториев?
VK Security | Буст этому каналу
#эксперты #проект #mgsa
Оперативная митигация проблему решила, но стало ясно: точечные правки не работают, нужен системный подход.
Как именно команда ИБ провела аудит 57+ экшенов, категоризировала векторы атак, разработала харденинг, автоматизировала мониторинг и в итоге создала собственный сервис MGSA — в нашем новом видео рассказывает Владислав Верусь, старший инженер по безопасности инфраструктуры соцсетей VK.
А как в вашей компании организован аудит безопасности GitHub-репозиториев?
VK Security | Буст этому каналу
#эксперты #проект #mgsa
Please open Telegram to view this post
VIEW IN TELEGRAM
❤8👍4🔥3
Сегодня — о том, где на практике ломается привычное представление о защите данных в продуктовых компаниях. А именно: что происходит, когда требования закона сталкиваются с реальной архитектурой продукта.
На уровне формулировок всё выглядит довольно просто: данные нужно хранить безопасно, ограничивать доступ, удалять по запросу, не передавать без оснований. Но как только это нужно реализовать в живой системе, появляется совсем другой уровень сложности. Потому что «персональные данные» внутри продукта — это не одна сущность. Это несколько хранилищ, аналитические витрины, антифрод-системы, интеграции с внешними сервисами, множество ролей и доступов. Требования понятны, а вот их реализация — это уже инженерная задача.
🔹 Типовой кейс
Пользователь запрашивает удаление своих данных.
Снаружи процесс выглядит линейно:
запрос → обработка → удаление → ответ.
Внутри всё значительно сложнее. К этому моменту данные уже могут:
• разъехаться по разным сервисам;
• использоваться в аналитике;
• участвовать в антифроде;
• лежать в резервных копиях;
• быть переданными третьим сторонам.
Если удалить всё без разбора — есть риск сломать продукт. Не удалить — нарушение требований законодательства.
Как это решается на практике? Сначала нужно понять:
• где обрабатываются данные;
• как устроены процессы передачи и потоков данных;
• как данные переиспользуются и обогащаются в процессах;
• как организован процесс работы с данными, кто и как к ним имеет доступ.
Дальше появляются инженерные решения:
• где необходимо удаление;
• где можно применить обезличивание;
• где — ограничение доступа через роли и IDM;
• где нужно изменить процессы обработки данных.
И всё это — баланс между законом, архитектурой и бизнесом.
🔹 За рамками compliance
На рынке часто функцию защиты данных закрывают через юридическую экспертизу.
Это логично: регуляторика сложная, требования и штрафы растут, коммуникация с регуляторами критична.
Но без технического слоя остаются слепые зоны, которые часто игнорируются при удалении:
• реальные механики хранения данных и доступа к ним,
• временные и файловые хранилища,
• аналитические данные,
• логи и технические журналы,
• локальные доступы,
• методы обезличивания,
• движение данных между сервисами и третьими лицами,
• каналы передачи данных,
• поведение бэкапов,
• процессы восстановления данных,
• фактическое состояние данных после «удаления»,
• идентификаторы или совокупность/связка данных, по которым можно восстановить данные,
• копии данных.
🔹 А как у нас?
Традиционный подход — когда за защиту данных отвечают юристы, а инженеры «исполняют требования» — неизбежно приводит к разрыву между документацией и реальностью.
Мы в VK выстраиваем защиту данных иначе: она изначально встроена в архитектуру и процессы разработки. Требования закона не появляются неожиданно на этапе релиза — они учитываются заранее, на этапе проектирования системы. Без встроенных инструментов даже прописанные политики и регламенты остаются просто бумагой. В VK реализованы инструменты для категорирования и маркировки данных, аудита доступов, ведения спецификаций, реестров и потоков данных, обезличивания и безопасной обработки данных при использовании AI. Это позволяет не просто «соблюдать законы», а сделать защиту данных прозрачной, измеримой и устойчивой к изменениям продукта.
Как это выглядит на практике, покажем на примере одного из наших сервисов в будущих публикациях.
Stay tuned! 😉
#эксперты #DPO
VK Security | Буст этому каналу
На уровне формулировок всё выглядит довольно просто: данные нужно хранить безопасно, ограничивать доступ, удалять по запросу, не передавать без оснований. Но как только это нужно реализовать в живой системе, появляется совсем другой уровень сложности. Потому что «персональные данные» внутри продукта — это не одна сущность. Это несколько хранилищ, аналитические витрины, антифрод-системы, интеграции с внешними сервисами, множество ролей и доступов. Требования понятны, а вот их реализация — это уже инженерная задача.
Пользователь запрашивает удаление своих данных.
Снаружи процесс выглядит линейно:
запрос → обработка → удаление → ответ.
Внутри всё значительно сложнее. К этому моменту данные уже могут:
• разъехаться по разным сервисам;
• использоваться в аналитике;
• участвовать в антифроде;
• лежать в резервных копиях;
• быть переданными третьим сторонам.
Если удалить всё без разбора — есть риск сломать продукт. Не удалить — нарушение требований законодательства.
Как это решается на практике? Сначала нужно понять:
• где обрабатываются данные;
• как устроены процессы передачи и потоков данных;
• как данные переиспользуются и обогащаются в процессах;
• как организован процесс работы с данными, кто и как к ним имеет доступ.
Дальше появляются инженерные решения:
• где необходимо удаление;
• где можно применить обезличивание;
• где — ограничение доступа через роли и IDM;
• где нужно изменить процессы обработки данных.
И всё это — баланс между законом, архитектурой и бизнесом.
На рынке часто функцию защиты данных закрывают через юридическую экспертизу.
Это логично: регуляторика сложная, требования и штрафы растут, коммуникация с регуляторами критична.
Но без технического слоя остаются слепые зоны, которые часто игнорируются при удалении:
• реальные механики хранения данных и доступа к ним,
• временные и файловые хранилища,
• аналитические данные,
• логи и технические журналы,
• локальные доступы,
• методы обезличивания,
• движение данных между сервисами и третьими лицами,
• каналы передачи данных,
• поведение бэкапов,
• процессы восстановления данных,
• фактическое состояние данных после «удаления»,
• идентификаторы или совокупность/связка данных, по которым можно восстановить данные,
• копии данных.
Традиционный подход — когда за защиту данных отвечают юристы, а инженеры «исполняют требования» — неизбежно приводит к разрыву между документацией и реальностью.
Мы в VK выстраиваем защиту данных иначе: она изначально встроена в архитектуру и процессы разработки. Требования закона не появляются неожиданно на этапе релиза — они учитываются заранее, на этапе проектирования системы. Без встроенных инструментов даже прописанные политики и регламенты остаются просто бумагой. В VK реализованы инструменты для категорирования и маркировки данных, аудита доступов, ведения спецификаций, реестров и потоков данных, обезличивания и безопасной обработки данных при использовании AI. Это позволяет не просто «соблюдать законы», а сделать защиту данных прозрачной, измеримой и устойчивой к изменениям продукта.
Как это выглядит на практике, покажем на примере одного из наших сервисов в будущих публикациях.
Stay tuned! 😉
#эксперты #DPO
VK Security | Буст этому каналу
Please open Telegram to view this post
VIEW IN TELEGRAM
✍4👍2🔥2
Нейросети помогают автоматизировать рутину, ускоряют анализ, позволяют быстрее разбирать большие объёмы данных и искать нестандартные векторы.
Мы сами видим много кейсов, где ИИ реально помогает хантерам усиливать свой подход.
Чаще всего это выглядит так:
Иногда это доходит до абсурда. Например:
Большой поток нейрослопа влияет на всю экосистему багбаунти:
Есть и менее очевидная проблема — замыливается восприятие.
Когда подряд смотришь десятки сгенерированных репортов без доказательств, к следующему отчёту автоматически появляется скепсис, даже если он валидный.
Некоторые зарубежные программы и платформы уже начали вводить ограничения:
За последний квартал мы обновили внутренние правила и усилили проверку подобных отчётов. В том числе протестировали механику промпт-инъекций против AI-агентов и вайбхантинга.
Если уязвимость нельзя воспроизвести, объяснить и показать её влияние на безопасность — это невалидный отчёт. Даже если он красиво оформлен и наполнен красивыми и сложными терминами, которые сгенерировала нейросеть. Если AI-агент «нашёл», что на ресурсе есть компонент с уязвимой версией, что может привести к critical devtools xss injection, и вы это сдали — это тоже будет невалидным отчётом.
Поэтому, если пользуетесь ИИ-агентами для поиска уязвимостей, перед отправкой репорта стоит задать простой вопрос: «Примут ли эту уязвимость в bug bounty?». Очень часто после этого вопроса агент сам отвечает: «Ты абсолютно прав, это не примут в bug bounty»
И, кстати, если вы пропустили — доклад Петра Уварова с митапа о том, почему не стоит слепо доверять ИИ и как триажеры разбирают потоки сгенерированных отчётов:
👉 Смотреть презентацию
P.S. Следите за новостями канала! Совсем скоро стартуем с новым проектом, в котором будем говорить о реальном опыте багхантеров. И, конечно, тема ИИ не останется без внимания!
VK Security | Буст этому каналу!
#bugbounty
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥11😁3👍1🆒1
This media is not supported in your browser
VIEW IN TELEGRAM
Ого, что?! Вышел первый выпуск нашего подкаста «Спасибо за репорт» 🎧
Это проект VK Bug Bounty для багхантеров, а также для всех, кто формирует индустрию. Поговорим с топ-хантерами, командами bug bounty-платформ, вендорами и теми, кому не всё равно, как развивается поиск уязвимостей.
Гость первого выпуска — Всеволод Кокорин aka Slonser.
Разбираемся с ИИ-агентами в багхантинге без восторженных «они всё заменят» и без паники. Что уже работает, что лучше перепроверять три раза и почему хороший результат не получить без реальных знаний. Всеволод как раз из тех, кто разбирается в этом по-настоящему. Он эффективно применяет ИИ-агентов в реальных задачах и точно знает, где они ускоряют работу, а где им не стоит доверять.
В выпуске:
– как ИИ-агенты меняют поиск уязвимостей?
– какие задачи можно отдавать агентам, а какие лучше оставить себе?
– где агенты начинают галлюцинировать вместо того, чтобы искать баги?
– от чего зависят аватарки Slonser'а?
🍿 Первый выпуск
Ставьте лайк, шерьте друзьям, репостите в чатики — будет полезно всем, кто хочет использовать агентов точнее и получать на выходе качественные репорты.
Пишите в комментариях: как вам запуск, кого позвать дальше и какие темы разобрать👇👇👇
VK Security | Буст этому каналу!
#bugbounty #подкаст
Это проект VK Bug Bounty для багхантеров, а также для всех, кто формирует индустрию. Поговорим с топ-хантерами, командами bug bounty-платформ, вендорами и теми, кому не всё равно, как развивается поиск уязвимостей.
Гость первого выпуска — Всеволод Кокорин aka Slonser.
Разбираемся с ИИ-агентами в багхантинге без восторженных «они всё заменят» и без паники. Что уже работает, что лучше перепроверять три раза и почему хороший результат не получить без реальных знаний. Всеволод как раз из тех, кто разбирается в этом по-настоящему. Он эффективно применяет ИИ-агентов в реальных задачах и точно знает, где они ускоряют работу, а где им не стоит доверять.
В выпуске:
– как ИИ-агенты меняют поиск уязвимостей?
– какие задачи можно отдавать агентам, а какие лучше оставить себе?
– где агенты начинают галлюцинировать вместо того, чтобы искать баги?
– от чего зависят аватарки Slonser'а?
Ставьте лайк, шерьте друзьям, репостите в чатики — будет полезно всем, кто хочет использовать агентов точнее и получать на выходе качественные репорты.
Пишите в комментариях: как вам запуск, кого позвать дальше и какие темы разобрать👇👇👇
VK Security | Буст этому каналу!
#bugbounty #подкаст
Please open Telegram to view this post
VIEW IN TELEGRAM
❤24🔥10✍5
Привет 👋 На связи Никита Галимов, руководитель команды безопасности Технического департамента VK.
🔹 Сейчас у нас открыта роль Архитектора информационной безопасности — человека, который умеет смотреть на систему целиком: от бизнес-рисков и модели угроз до DevOps-пайплайнов, сетевых политик, легаси и целевой архитектуры. Нужно разбираться в инфраструктуре «руками» — CI/CD, подписи артефактов, Kubernetes, сетевых логах — и уметь объяснять решения разработке, CTO и продукту на языке сроков, устойчивости и стоимости риска.
О задачах рассказываю ниже, смотрите и откликайтесь на сайте.
🔹 Больше вакансий от моих коллег:
🔹 AppSec
AppSec-инженер
AppSec-инженер в MAX
AppSec-инженер в VK ID
🔹 InfraSec:
Эксперт по инфраструктурной безопасности
Технический менеджер в MAX
🔹 AI Security
Специалист по безопасности Gen AI
🔹 SOC
Аналитик Threat Intelligence в MAX
Аналитик SOC (L2) в MAX
🔹 Antifraud
Аналитик антифрода (L2) в MAX
Аналитик антифрода (L3) в MAX
🔹 Контакт для связи: @nstslis
VK Security | Буст этому каналу!
#вакансии
О задачах рассказываю ниже, смотрите и откликайтесь на сайте.
AppSec-инженер
AppSec-инженер в MAX
AppSec-инженер в VK ID
Эксперт по инфраструктурной безопасности
Технический менеджер в MAX
Специалист по безопасности Gen AI
Аналитик Threat Intelligence в MAX
Аналитик SOC (L2) в MAX
Аналитик антифрода (L2) в MAX
Аналитик антифрода (L3) в MAX
VK Security | Буст этому каналу!
#вакансии
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥11👍5❤4🤔2🤩2✍1😁1🤪1
Как закрывать риски внедрения вредоносного ПО ещё до продакшена?
17 июня на VK Cloud Conf 2026 Игорь Игнатьев, руководитель направления защиты приложений VK, выступит с докладом: «Доверенная среда разработки: как обеспечить чистоту кода и закрыть риски внедрения вредоносного ПО».
Тема особенно актуальна сейчас: атаки на цепочку поставки кода становятся всё привычнее. Вредоносные зависимости, скомпрометированные образы, уязвимости в сторонних компонентах — всё это уже не редкие исключения, а реальные риски для разработки.
VK Security Gate — это единый контур контроля, который закрывает эти риски от момента сборки до хранения образа в Registry.
Игорь расскажет, как выстроить доверенную среду разработки на российском стеке в инфраструктуре VK Cloud:
🔹 что можно проверять автоматически;
🔹 где выставлять блокировки;
🔹 как встроить контроль в CI/CD;
🔹 как закрывать риски без потери скорости разработки.
🔹 17 июня, 12:50–13:10
Доклад: «Доверенная среда разработки: как обеспечить чистоту кода и закрыть риски внедрения вредоносного ПО»
🔹 Подробности и регистрация — на сайте конференции.
#VKSecurityGate #эксперты
VK Security | Буст этому каналу!
17 июня на VK Cloud Conf 2026 Игорь Игнатьев, руководитель направления защиты приложений VK, выступит с докладом: «Доверенная среда разработки: как обеспечить чистоту кода и закрыть риски внедрения вредоносного ПО».
Тема особенно актуальна сейчас: атаки на цепочку поставки кода становятся всё привычнее. Вредоносные зависимости, скомпрометированные образы, уязвимости в сторонних компонентах — всё это уже не редкие исключения, а реальные риски для разработки.
VK Security Gate — это единый контур контроля, который закрывает эти риски от момента сборки до хранения образа в Registry.
Игорь расскажет, как выстроить доверенную среду разработки на российском стеке в инфраструктуре VK Cloud:
Доклад: «Доверенная среда разработки: как обеспечить чистоту кода и закрыть риски внедрения вредоносного ПО»
#VKSecurityGate #эксперты
VK Security | Буст этому каналу!
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8❤4👏3👍1😁1🤔1🤩1
Один из самых обсуждаемых ИБ-терминов последних месяцев — vibeware.
Недавно у наших коллег @aihubvk вышел материал про использование LLM для автоматизации создания и модификации вредоносного ПО.
Мы попросили нашего эксперта Павла Литикова поделиться взглядом на то, насколько этот тренд действительно меняет ландшафт угроз и что это означает для команд ИБ.
Основные тезисы — в карточках.
За последний год мы довольно много рассказывали о практическом применении AI и ML в задачах безопасности — от SOC и AppSec до защиты самих моделей⬇️ ⬇️ ⬇️
🔹 как LLM и ML помогают аналитикам SOC справляться с потоком алертов;
🔹 как мы используем VK LLM в DevSecOps для автоматизации поиска и анализа секретов;
🔹 как мы автоматизировали создание Nuclei-шаблонов по отчётам об уязвимостях;
🔹 как выстраивается безопасность AI-платформ и защищаются модели на всех этапах жизненного цикла.
VK Security | Буст этому каналу
#AISecurity #мнение #эксперт
Недавно у наших коллег @aihubvk вышел материал про использование LLM для автоматизации создания и модификации вредоносного ПО.
Мы попросили нашего эксперта Павла Литикова поделиться взглядом на то, насколько этот тренд действительно меняет ландшафт угроз и что это означает для команд ИБ.
Основные тезисы — в карточках.
За последний год мы довольно много рассказывали о практическом применении AI и ML в задачах безопасности — от SOC и AppSec до защиты самих моделей
VK Security | Буст этому каналу
#AISecurity #мнение #эксперт
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3👍2❤1💯1
Media is too big
VIEW IN TELEGRAM
🎙 Почему одни Bug Bounty-программы хочется рекомендовать, а другие — обходить стороной?
Поговорим об этом завтра — в новом выпуске подкаста «Спасибо за репорт».
В гостях — Заур Заурбаев, создатель HackAdvisor.
Обсудим, как опыт сообщества помогает выбирать программы, зачем нужны отзывы и почему прозрачность важна для всей индустрии.
Ставьте 👍, если ждёте новый выпуск!
VK Security | Буст этому каналу
#bugbounty #подкаст@vk_security
Поговорим об этом завтра — в новом выпуске подкаста «Спасибо за репорт».
В гостях — Заур Заурбаев, создатель HackAdvisor.
Обсудим, как опыт сообщества помогает выбирать программы, зачем нужны отзывы и почему прозрачность важна для всей индустрии.
Ставьте 👍, если ждёте новый выпуск!
VK Security | Буст этому каналу
#bugbounty #подкаст@vk_security
🔥12👍6👏3❤2
Разбираемся, как появился HackAdvisor и что на самом деле стоит за отзывами о программах: месяцы, а иногда и годы работы багхантеров.
В первом выпуске вместе со Slonser мы обсуждали, как ИИ-агенты меняют багхантинг. Теперь — о том, как знания и опыт комьюнити помогают делать Bug Bounty лучше для всех участников.
Наш гость — Заур Заурбаев (k3ypt0), создатель HackAdvisor.
В выпуске обсудили:
⚡️ как появилась платформа HackAdvisor и какие задачи она помогает решать багхантерам;
⚡️ почему отзывы о программах — это не просто комментарии, а важная часть развития Bug Bounty;
⚡️ как устроена платформа: отзывы, динамика изменений программ, Labs и другие возможности;
⚡️ почему прозрачность полезна не только исследователям, но и самим программам;
⚡️ как комьюнити помогает развивать HackAdvisor и почему многие новые функции появляются благодаря предложениям хантеров.
Получился искренний разговор о том, что Bug Bounty — это не только про поиск уязвимостей, но и про людей, которые помогают друг другу делать индустрию лучше.
А что для вас важнее всего при выборе программы: размер выплат, интересный скоуп, скорость триажа или опыт других хантеров? Делитесь в комментариях 👇
#bugbounty #подкаст
Please open Telegram to view this post
VIEW IN TELEGRAM
10🔥15🏆5🆒4🤩1
🚀 И сразу к новым выпускам подкаста «Спасибо за репорт»
В одном из следующих эпизодов меняем привычный формат: отвечать на вопросы будут не багхантеры, а представители нескольких крупных багбаунти-программ.
💬 Поэтому мы открываем сбор вопросов. Для этого сделали отдельного бота — отправляйте всё, что давно хотели спросить.
Например:
• про триаж и выплаты;
• про внутренние процессы;
• про назначение выплат;
• и любые другие темы, которые вам интересны.
🔹 Неважно, давно ли вы в багбаунти или только начинаете разбираться в теме. Если у вас появился вопрос, скорее всего, он волнует и многих других. Поэтому не стесняйтесь — задавайте даже самые простые и базовые вопросы.
И да, не ограничивайтесь одним: присылайте столько вопросов, сколько захотите. Мы выберем самые интересные и обсудим их вместе с вендорами в новом выпуске.
👉🏻 Задать вопрос
#bugbounty #подкаст
В одном из следующих эпизодов меняем привычный формат: отвечать на вопросы будут не багхантеры, а представители нескольких крупных багбаунти-программ.
💬 Поэтому мы открываем сбор вопросов. Для этого сделали отдельного бота — отправляйте всё, что давно хотели спросить.
Например:
• про триаж и выплаты;
• про внутренние процессы;
• про назначение выплат;
• и любые другие темы, которые вам интересны.
И да, не ограничивайтесь одним: присылайте столько вопросов, сколько захотите. Мы выберем самые интересные и обсудим их вместе с вендорами в новом выпуске.
👉🏻 Задать вопрос
#bugbounty #подкаст
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4⚡3✍2👍1
🤩 Максимальные выплаты — за реальную защищенность пользователей
Фокусируемся на том, что действительно важно — на приватности и безопасности пользовательских данных.
🔹 С 1 июля мы меняем правила программы багбаунти: теперь не важно, какая именно бага найдена, важно — какой импакт она несет. Любые узявимости, которые позволяют получить доступ к данным пользователей будут оцениваться по новой шкале.
🔹 Например, в наших социальных сетях Account Takeover теперь будет оцениваться наравне с RCE.
Также оцениваться будут репорты не только в наших социальных сервисах, но и в VK Cloud, VK Workspace и VK HR Tek.
🔹 За нарушение изоляции между проектами пользователей в VK Cloud можно получить до 1 000 000 ₽.
В каких программах изменения?
🔹 ВКонтакте
🔹 Одноклассники
🔹 VK Видео
🔹 VK Workspace
🔹 VK Cloud
🔹 VK HR Tek
Все существующие категории остаются в силе — мы дополняем программы новыми сценариями, чтобы сделать акцент на защите пользовательских данных.
Спасибо каждому, кто помогает делать наши продукты безопаснее 💙
⭐ Не забывайте и про Bounty Pass: с каждым новым оплачиваемым отчетом можно получить до +5% к каждому следующему вознаграждению.
VK Security | Буст этому каналу!
#bugbounty #bountypass
Фокусируемся на том, что действительно важно — на приватности и безопасности пользовательских данных.
Также оцениваться будут репорты не только в наших социальных сервисах, но и в VK Cloud, VK Workspace и VK HR Tek.
В каких программах изменения?
Все существующие категории остаются в силе — мы дополняем программы новыми сценариями, чтобы сделать акцент на защите пользовательских данных.
Спасибо каждому, кто помогает делать наши продукты безопаснее 💙
⭐ Не забывайте и про Bounty Pass: с каждым новым оплачиваемым отчетом можно получить до +5% к каждому следующему вознаграждению.
VK Security | Буст этому каналу!
#bugbounty #bountypass
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6👍5🔥3🤔2⚡1🤩1
Лучший способ научиться сдавать хорошие уязвимости — это читать про хорошие уязвимости.
📖 Продолжаем раскрывать багбаунти-отчеты. Мы хотим, чтобы у хантеров было больше качественных материалов для обучения: с реальными уязвимостями, подробным описанием, шагами воспроизведения и примерами того, как были оформлены сами репорты.
Сегодня делимся тремя интересными кейсами:
🔹 XSS через библиотеку mathjax — для эксплуатации уязвимости хакер углубился в изучение библиотеки и смог показать уязвимое поведение через интересный пейлоад.
🔹 Ссылка на отчет
🔹 Раскрытие подписчиков приватной группы по ID — уязвимость позволяла получить список подписчиков приватной группы или мероприятия, зная их идентификатор.
🔹 Ссылка на отчет
🔹 Возможность заддосить сервер — передача слишком большого числового значения в одном из параметров приводила к высокой нагрузке на сервер.
🔹 Ссылка на отчет
🎓 Больше раскрытых репортов — в наших предыдущих публикациях:
🔗 https://xn--r1a.website/vk_security/177
🔗https://xn--r1a.website/vk_security/256
Меньше теории — больше практики. Читайте, разбирайте, повторяйте. А потом идите ломать... конечно же, только в рамках Bug Bounty 😏
VK Security | Буст этому каналу!
#bugbounty #разборы
📖 Продолжаем раскрывать багбаунти-отчеты. Мы хотим, чтобы у хантеров было больше качественных материалов для обучения: с реальными уязвимостями, подробным описанием, шагами воспроизведения и примерами того, как были оформлены сами репорты.
Сегодня делимся тремя интересными кейсами:
🎓 Больше раскрытых репортов — в наших предыдущих публикациях:
🔗 https://xn--r1a.website/vk_security/177
🔗https://xn--r1a.website/vk_security/256
Меньше теории — больше практики. Читайте, разбирайте, повторяйте. А потом идите ломать... конечно же, только в рамках Bug Bounty 😏
VK Security | Буст этому каналу!
#bugbounty #разборы
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8👍4❤3🤔1
Обновляем механику получения мерча для багхантеров 👀
Начнём с приятного: подарки за второй квартал уже в пути к своим героям🔹
🔹 Сейчас по правилам программы VK Bug Bounty мерч получают багхантеры, которые в течение квартала сдали четыре и более оплачиваемых отчёта или получили вознаграждение больше 400 000 рублей.
Но мы знаем, что иногда до заветной цели может не хватить всего одного отчёта. При этом прогресс не переносится на следующий период — и отсчёт начинается заново.
🔹 Мы слышим вашу обратную связь и решили изменить этот подход: уже в третьем квартале мы представим новую механику. Больше не нужно будет укладываться в рамки одного квартала — у каждого багхантера будет возможность получить заслуженную награду.
Все детали пока раскрывать не будем — оставим немного интриги. Совсем скоро расскажем, как всё будет работать.
А пока, как всегда, ждём ваши отчёты:
▫️ Standoff Bug Bounty
▫️ BI.ZONE Bug Bounty
▫️ Bugbounty.ru
🔹 Если у вас есть вопросы, пишите нам: @vksecurityteam
VK Security | Буст этому каналу!
#bugbounty #bountypass
Начнём с приятного: подарки за второй квартал уже в пути к своим героям
Но мы знаем, что иногда до заветной цели может не хватить всего одного отчёта. При этом прогресс не переносится на следующий период — и отсчёт начинается заново.
Все детали пока раскрывать не будем — оставим немного интриги. Совсем скоро расскажем, как всё будет работать.
А пока, как всегда, ждём ваши отчёты:
VK Security | Буст этому каналу!
#bugbounty #bountypass
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥7🏆3❤2
Увидимся завтра на CyberCamp!
17 июля встречаемся на летнем фестивале для кибербезопасников в Москве!
Заглядывайте в пространство VK Tech на Пирсе — обсудим подходы к безопасной разработке и то, как находить потенциальные проблемы в коде ещё на этапе создания продукта.
На площадке можно будет:
🔹 проверить свой GitHub-проект с помощью VK Security Gate и оценить уровень безопасности кода;
🔹 узнать больше о подходах к поиску уязвимостей и практиках AppSec VK;
🔹 пообщаться в спокойной атмосфере между докладами и активностями;
🔹 отдохнуть в лаунж-зоне у воды, заглянуть в бар и получить кастомный мерч за участие в активности.
🔹 Когда: завтра, 17 июля, с 11-00
🔹 Где: Москва, Березы Парк Строгино
Берите свои проекты, хорошее настроение и заглядывайте в пространство VK Tech — увидимся на фестивале!
VK Security | Буст этому каналу!
#appsec #VKSecurityGate
17 июля встречаемся на летнем фестивале для кибербезопасников в Москве!
Заглядывайте в пространство VK Tech на Пирсе — обсудим подходы к безопасной разработке и то, как находить потенциальные проблемы в коде ещё на этапе создания продукта.
На площадке можно будет:
Берите свои проекты, хорошее настроение и заглядывайте в пространство VK Tech — увидимся на фестивале!
VK Security | Буст этому каналу!
#appsec #VKSecurityGate
Please open Telegram to view this post
VIEW IN TELEGRAM
❤5👍3🔥1