Топ выплат за Bug Bounty в России

В 2024 году максимальная выплата на платформе Standoff Bug Bounty достигла 3,96 млн рублей, что на 39% больше, чем в 2023 году.

В 2024 году 16 исследователей смогли заработать более 1 миллиона рублей на платформе, а трое из них - более 7 миллионов рублей.

Российские компании предлагают значительные вознаграждения за обнаружение уязвимостей в рамках своих программ Bug Bounty:

Компания	Максимальное вознаграждение	За что выплаты
Positive Technologies	до 60 млн рублей	За реализацию недопустимого для компании события.
Innostage	до 10 млн рублей	За реализацию недопустимого события.
Сбер	до 10 млн рублей	За критические уязвимости в сервисах, мобильных приложениях и API.
VK (ВКонтакте)	до 3,6 млн рублей	За уязвимости, позволяющие удаленно выполнить код (RCE). Ранее выплаты до $70,000 за RCE.
Тинькофф	до 5 млн рублей	За критические уязвимости в банковских сервисах и мобильных приложениях.
Росбанк	до 2 млн рублей	За критические уязвимости в банковских сервисах.
Ростелеком-Солар	до 2 млн рублей	За критические уязвимости в кибербезопасных сервисах.
Ростех	до 2 млн рублей	За критические уязвимости в промышленных и технологических сервисах.
Ростелеком	до 2 млн рублей	За критические уязвимости в телекоммуникационных сервисах и инфраструктуре.
Альфа-Банк	до 3 млн рублей	За критические уязвимости в финансовых сервисах.
Райффайзенбанк	до 2 млн рублей	За критические уязвимости в банковских сервисах.
Rambler&Co	до 3 млн рублей	За реализацию неприемлемого события.
Газпромбанк	до 3 млн рублей	За критические уязвимости в финансовых сервисах.
QIWI	до 1 млн рублей	За критические уязвимости в платежных сервисах.
Mail.ru Group	до 1 млн рублей	За критические уязвимости в почте, мессенджерах и игровых платформах.
X5 Group	до 1 млн рублей	За критические уязвимости в розничных сервисах (Пятёрочка, Перекрёсток).
Ozon	до 1 млн рублей	За критические уязвимости в электронных торговых платформах.
Wildberries	до 1 млн рублей	За критические уязвимости в сервисах.
МТС	до 1 млн рублей	За критические уязвимости в телекоммуникационных сервисах.
Билайн	до 1 млн рублей	За критические уязвимости в телекоммуникационных сервисах.
МегаФон	до 1 млн рублей	За критические уязвимости в телекоммуникационных сервисах.
РЖД	до 1 млн рублей	За критические уязвимости в сервисах и инфраструктуре.
1С	до 500 тыс. рублей	За критические уязвимости в программных продуктах и сервисах.
Лаборатория Касперского	до 500 тыс. рублей	За критические уязвимости в антивирусных продуктах и сервисах.
Авито	до 500 тыс. рублей	За критические уязвимости.
Яндекс	до 300 тыс. рублей	В программе Bug Bounty для умных устройств с "Алисой".

Другие новости в канале Топ Кибербезопасности Батранкова

Изменились ли угрозы за последние 5 лет?

За последние 5 лет угрозы информационной безопасности значительно изменились. Это связано с развитием технологий, увеличением количества кибератак, а также изменениями в способах работы организаций (например, массовый переход на удаленную работу и использование облачных технологий). Вот основные изменения в угрозах за последние годы:

1. Рост сложности и масштабов кибератак

• Целевые атаки (APT, Advanced Persistent Threats): Злоумышленники стали использовать более изощренные методы, такие как многоэтапные атаки, которые могут длиться месяцами.
• Ransomware (шифровальщики): Атаки с использованием ransomware стали более массовыми и разрушительными. Злоумышленники не только шифруют данные, но и угрожают их публикацией (double extortion).
• Атаки на цепочки поставок: Злоумышленники атакуют не напрямую, а через уязвимости в программном обеспечении или услугах третьих сторон (например, атака на SolarWinds в 2020 году).

2. Угрозы, связанные с удаленной работой

• Увеличение атак на удаленные рабочие места: С массовым переходом на удаленную работу возросло количество атак через VPN, RDP (Remote Desktop Protocol) и другие инструменты удаленного доступа.
• Фишинг и социальная инженерия: Злоумышленники активно используют фишинговые письма, маскируясь под уведомления о COVID-19 или обновления корпоративных систем.
• Угрозы для облачных сервисов: С увеличением использования облачных технологий (Google Workspace, Microsoft 365 и др.) возросло количество атак на облачные аккаунты и данные.

3. Угрозы, связанные с IoT и умными устройствами

• Атаки на устройства Интернета вещей (IoT): Умные устройства (камеры, датчики, принтеры) часто становятся точкой входа для атак из-за слабой защиты.
• Угрозы для промышленных систем (IIoT): Атаки на системы промышленного интернета вещей (например, энергетические сети или системы управления производством) стали более частыми и опасными.

4. Угрозы, связанные с искусственным интеллектом (ИИ)

• Использование ИИ для атак: Злоумышленники начали использовать ИИ для автоматизации атак, анализа уязвимостей и создания более убедительных фишинговых сообщений.
• Deepfake-атаки: Технологии deepfake используются для мошенничества, например, для подделки голосовых сообщений или видео.

5. Угрозы для мобильных устройств

• Атаки на мобильные приложения: Вредоносные приложения и уязвимости в популярных мобильных платформах стали более распространенными.
• SMS-фишинг (smishing): Злоумышленники используют SMS для обмана пользователей и кражи данных.

6. Угрозы, связанные с криптовалютами

• Криптоджекинг: Злоумышленники используют вычислительные мощности жертв для майнинга криптовалют.
• Атаки на криптобиржи и кошельки: Увеличилось количество краж криптовалют через взломы бирж и кошельков.

7. Угрозы, связанные с законодательством и регуляторами

• Ужесточение требований к защите данных: Применение ФЗ-152 и 13.11 КоАП РФ в редакции 2021 года и аналогичных законов в других странах привело к увеличению штрафов за утечки данных.
• Локализация данных: Требования к хранению данных в определенных странах (например, Федеральный закон № 242-ФЗ в России) создают новые вызовы для компаний. В 2021 году Роскомнадзор оштрафовал TikTok на 1,5 млн рублей за нарушение локализации данных.

8. Угрозы, связанные с социальными сетями

• Кража данных через социальные сети: Злоумышленники используют социальные сети для сбора информации о жертвах и проведения целевых атак.
• Распространение дезинформации: Фейковые новости и дезинформация стали инструментом для манипуляции общественным мнением.

9. Угрозы, связанные с 5G

• Уязвимости в сетях 5G: С развитием сетей пятого поколения появились новые угрозы, связанные с безопасностью передачи данных.

10. Угрозы, связанные с квантовыми вычислениями

• Риски для криптографии: Развитие квантовых вычислений может сделать традиционные методы шифрования уязвимыми.

---

Итог

За последние 5 лет угрозы стали более сложными, масштабными и изощренными. Злоумышленники активно используют новые технологии, такие как ИИ, IoT и облачные сервисы, а также эксплуатируют изменения в бизнес-процессах (например, удаленную работу). Чтобы противостоять этим угрозам, компаниям необходимо:

• Регулярно обновлять системы защиты.
• Обучать сотрудников.
• Внедрять современные технологии, такие как GRC, NGFW и XDR-системы.
• Следить за изменениями в законодательстве и стандартах.

Если вы разрабатываете модель угроз для своей компании, обязательно учитывайте эти изменения и адаптируйте меры защиты под современные реалии.

Другие новости в канале Топ Кибербезопасности Батранкова

Что означает код ответа HTTP 418?

В мире веб-разработки HTTP-коды ответов строго регламентированы и несут важную смысловую нагрузку. Они позволяют клиентам и серверам обмениваться статусами запросов, указывая на успех, ошибку или необходимость дополнительных действий.

Например, всем известны:
✅ 200 OK – запрос успешно выполнен
🚫 404 Not Found – запрашиваемый ресурс не найден
🔥 500 Internal Server Error – сервер столкнулся с внутренней проблемой

Но есть один код, который вызывает недоумение даже у опытных специалистов. Код, который стоит особняком среди остальных и кажется… неправильным.

Код 418

Официально задокументированный ответ HTTP. Он существует, он внесен в спецификацию, и его можно встретить в реальных конфигурациях серверов. Что же он означает?

Обратимся к RFC 2324, раздел 2.3.2, в котором этот код был определен. Согласно спецификации, он обозначает:

🫖 "418 I'm a teapot" — "Я чайник"

Вы не ослышались. Это официальный ответ сервера, который, согласно документации, сигнализирует о том, что сервер… является чайником и отказывается заваривать кофе.

Можно ли встретить HTTP 418 в продакшене?

Формально – да. Он задокументирован в IETF и вполне может быть использован на сервере. Но вот в спецификациях HTTP он не упоминается среди стандартных кодов.

В итоге

А теперь главный вопрос: почему чайник?

Если заглянуть в начало RFC 2324, становится очевидно, что это первоапрельская шутка, опубликованная 1 апреля 1998 года. Весь документ посвящен HTCPCP (Hyper Text Coffee Pot Control Protocol) – несуществующему протоколу для управления кофеварками через HTTP.

Да, код 418 – это розыгрыш, который перерос в культовый мем. И если сервер однажды вернет вам "418 I'm a teapot", значит, кто-то явно решил повеселиться. 😁

Читайте телеграм-канал Топ кибербезопасности

Расширенные примеры запросов к ChatGPT, которые дадут вам новые идеи. Попробуйте сегодня!

Запросы к ChatGPT

Введите указанный ниже промпт в ChatGPT и посмотрите на результат.

Личностный рост и благополучие

• Дайте мне технику для быстрой смены негативных мыслей на позитивные.
• Предложите 5 привычек, которые помогут мне стать более продуктивным.
• Как эффективно вести дневник благодарности?
• Какие упражнения помогут развить эмоциональный интеллект?
• Как научиться говорить «нет» без чувства вины?
• Как бороться с выгоранием и восстановить энергию?

Обучение и образование

• Как объяснить квантовую механику школьнику?
• Придумайте 10 интересных вопросов для викторины по истории.
• Как лучше всего структурировать заметки при изучении нового языка?
• Какие эффективные техники скорочтения можно использовать?
• Объясните сложную научную теорию простыми словами.

Здоровье и фитнес

• Какие упражнения помогут улучшить осанку?
• Как составить эффективный план тренировок на месяц?
• Какие полезные привычки способствуют здоровому сну?
• Как уменьшить стресс без медикаментов?
• Какие диетические изменения помогут снизить уровень сахара в крови?

Путешествия и отдых

• Какие самые недооцененные туристические направления в Азии?
• Как найти дешевые авиабилеты и сэкономить на путешествиях?
• Какие необычные места стоит посетить во Вьетнаме?
• Как правильно подготовиться к длительному путешествию?
• Какие вещи необходимо взять с собой в поездку на природу?

Креативность и вдохновение

• Придумайте интересную завязку для детективного романа.
• Дайте мне 5 идей для художественного проекта.
• Какие методы помогают преодолеть творческий кризис?
• Создайте нестандартный сценарий для короткометражного фильма.
• Как научиться импровизировать в творчестве?

Психология и самопознание

• Какие психологические эффекты управляют нашими решениями?
• Как распознать токсичные отношения и выйти из них?
• Какие когнитивные искажения чаще всего влияют на мышление?
• Как научиться лучше понимать эмоции других людей?
• Какие техники помогут повысить уверенность в себе?

Бизнес, работа и карьера

• Как вести переговоры, чтобы добиваться желаемого?
• Какие бизнес-идеи актуальны в 2025 году?
• Как правильно составить эффективное резюме?
• Какие книги стоит прочитать предпринимателю?
• Как вывести новый продукт на рынок с минимальными затратами?

Финансы и инвестиции

• Как составить личный финансовый план?
• Какие привычки помогут быстрее накопить деньги?
• Как правильно инвестировать в акции новичку?
• Какие пассивные источники дохода стоит рассмотреть?
• Как защитить себя от финансового мошенничества?

Технологии и наука

• Какие прорывные технологии ожидаются в ближайшие 10 лет?
• Как работает искусственный интеллект и где он применяется?
• Объясните основы блокчейна простыми словами.
• Как кибербезопасность влияет на современный мир?
• Какие перспективы у квантовых компьютеров?

Развлечения и хобби

• Какие фильмы с неожиданными сюжетными поворотами стоит посмотреть?
• Какие настольные игры подходят для вечера с друзьями?
• Как выбрать первый музыкальный инструмент для обучения?
• Какие необычные хобби можно попробовать?
• Как научиться фокусам и удивлять друзей?

Жизненные лайфхаки

• Какие необычные способы помогают запоминать информацию?
• Как сделать так, чтобы просыпаться легче по утрам?
• Как организовать пространство на рабочем столе для максимальной продуктивности?
• Какие лайфхаки помогут сэкономить время в повседневных делах?
• Как быстро освоиться в новом городе или стране?

Примеры запросов к ChatGPT, которые дадут вам новые идеи. Попробуйте сегодня!

Введите указанный ниже промпт в ChatGPT и посмотрите на результат.

Личностный рост и благополучие

• Можете ли вы предложить мне упражнение на осознанность?
• Можете ли вы дать мне тему для дневника для размышлений?
• Можете ли вы дать мне позитивное утверждение, чтобы начать день?
• Можете ли вы предложить мне технику расслабления?

Обучение и образование

• Объясните теорему Пифагора простыми словами.
• Создайте викторину по информационной безопасности с вариантами ответов.
• Предоставьте пошаговое руководство по изучению основ HTML.
• Предложите онлайн-курсы для улучшения навыков публичных выступлений.

Здоровье и самочувствие

• Создайте недельный план тренировок для новичка в фитнесе.
• Предложите эффективные упражнения для улучшения гибкости.
• Предоставьте план питания для сбалансированного рациона при ограниченном бюджете.
• Какие здоровые перекусы можно взять на работу?

Путешествия и отдых

• Дайте мне советы по эффективной упаковке вещей для недельной поездки.
• Какие основные вещи необходимо взять в поход?
• Предложите несколько интересных занятий в моем городе на выходные.
• Какие уникальные однодневные поездки можно совершить из Москвы?

Креативность и развлечения

• Можете ли вы дать мне тему для написания короткого рассказа?
• Расскажите мне интересный факт.
• Можете ли вы дать мне вдохновляющую цитату для жизни?
• Можете ли вы дать мне сложное слово для изучения?
• Какая хорошая тема для дебатов среди друзей?
• Можете ли вы дать мне творческое задание для работы?
• Опишите вымышленного персонажа, которого я мог бы нарисовать или описать?
• Можете ли вы предложить мне направление для путешествия для исследования?
• Можете ли вы предложить тему для разговора с моими друзьями?
• Можете ли вы предложить мне тест личности для развлечения?
• Можете ли вы порекомендовать мне вашу любимую книгу?
• Что бы вы сделали, если бы зомби-апокалипсис начался прямо сейчас?

Личная продуктивность

• Помогите мне составить еженедельное расписание для баланса между работой и личной жизнью.
• Предложите эффективные стратегии управления временем для занятого профессионала.
• Помогите мне установить SMART-цели на следующий квартал.
• Создайте список краткосрочных и долгосрочных целей для моего карьерного развития.

Бизнес и маркетинг

• Создайте план поста в блоге о преимуществах удаленной работы.
• Напишите описание продукта для новой экологичной бутылки для воды.
• Напишите письмо потенциальному клиенту с предложением услуг по ИИ-консалтингу.
• Создайте шаблон письма для последующего контакта после недавней презентации.
• Предоставьте краткий обзор последних тенденций в цифровом маркетинге.
• Создайте SWOT-анализ для нового стартапа в технологической отрасли.

Технологии

• Какие полезные комбинации клавиш существуют для Windows?
• Объясните, как использовать Google Sheets для базового анализа данных.
• Можете ли вы порекомендовать приложения для управления проектами?
• Какие лучшие приложения для изучения нового языка?

Обычная копия паспорта — и вы без квартиры и денег! Что делают с вашим паспортом?

Обычная копия паспорта — и вы без квартиры и денег! Что делают с вашим паспортом?

Злоумышленники давно научились использовать копии паспортов россиян для самых разных махинаций. Подборка реальных схем, о которых стоит знать каждому:

🔹 Оформление микрозаймов

Мошенники берут быстрые кредиты на ваше имя, используя только данные с первых страниц паспорта. Даже без вашего участия долг повиснет на вас, а доказать невиновность бывает сложно.

🔹 Регистрация фирм-однодневок

На ваш паспорт могут зарегистрировать компанию, которая окажется замешанной в отмывании денег или налоговых махинациях. Итог – претензии налоговой и разбирательства.

🔹 Изготовление поддельных паспортов

Ваши данные + фото мошенника = «новый» человек, который легко берет кредиты в небольших банках, оформляет страховки или арендует технику.

🔹 Использование в онлайн-банкинге

Фишинг, подмена SIM-карты, а потом — кредит на ваше имя через приложение банка. Особенно опасно, если мошенники узнают код из СМС.

🔹 Продажа вашей квартиры

Подделка доверенности и договора купли-продажи – и ваше жилье уходит в чужие руки. Найти концы сложно, а судиться придется годами.

🔹 Оформление SIM-карт

Копия паспорта позволяет оформить новую SIM-карту. А дальше – контроль над вашими банковскими СМС и доступ ко всем сервисам через сброс пароля.

🔹 Регистрация на мошеннических маркетплейсах

Ваш паспорт используют для создания фейковых аккаунтов, через которые обманывают людей, продавая несуществующие товары.

🔹 Создание левых юридических лиц

Мошенники могут зарегистрировать ООО на ваши данные, а затем «обналичивать» деньги через него, оставляя вас крайним перед законом.

🛡 Как защититься?

✅ Никогда не отправляйте копию паспорта незнакомым людям или сомнительным организациям.

✅ На копии всегда пишите: «Только для [цель]» и дату.

✅ Контролируйте историю кредитов через «Госуслуги» или БКИ (Бюро кредитных историй).

✅ Если паспорт попал в чужие руки – срочно обращайтесь в полицию.

✅ Подключите защиту от дубликатов SIM-карт. Как установить запрет на перевыпуск сим-карты дистанционно через USSD-запрос узнайте у оператора. 

✅ Также активируйте у своего мобильного оператора “Запрет действий по доверенности”.

✅ Используйте отдельный номер телефона для мобильных банков.

Базы данных клиентов разных компаний регулярно взламывают, после чего их выкупают мошенники. Ксерокопии паспортов также продают на черном рынке в интернете за очень низкую цену. 

Берегите свои данные и не попадайтесь на уловки мошенников! 

#кибербезопасность #мошенники #защитаданных #финансы

Топ Кибербезопасности

Как нас защищают от мошеннических звонков? Разбираем системы КСИМ и «Антифрод»

Как нас защищают от мошеннических звонков? Разбираем системы КСИМ и «Антифрод»

🚨 В России 1170 операторов связи, оказывающих услуги голосовой связи, включая 4 крупнейших: МТС, Билайн, Tele2 и Мегафон. Штраф за пропуск звонков с подменных номеров до 1 млн рублей, поэтому операторы обязаны подключаться к системам защиты. Уже 1164 оператора подключены к системе. Как именно нас защищают?

🔍 КСИМ – Мониторинг достоверности сведений об абонентах

👉 КСИМ –мониторинг соблюдения операторов связи требований по проверке достоверности сведений об абонентах, включая иностранных граждан

Система сверяет данные абонентов с госбазами. Если обнаруживаются несоответствия, абонента просят подтвердить свои данные повторно.

Цель – пресечь использование SIM-карт с ложными данными, снижая риск мошенничества.

🔒 Антифрод  – верификация телефонных вызовов

👉 «Антифрод» позволяет операторам связи в автоматическом режиме верифицировать телефонные вызовы

Если номер подменили, то оператор обязан заблокировать звонок.

За 2024 год система «Антифрод» предотвратила более 606 миллионов звонков с подменных номеров

📲 Подключены все крупные операторы: МТС, Мегафон, Tele2, Билайн.

📊 Как это защищает вас?

✅ Когда вы получаете звонок, система проверяет, действительно ли номер принадлежит звонящему

✅ Если номер поддельный, звонок блокируется оператором связи ещё до того, как достигнет абонента

🔄 Например, в 2024 году:

🔹 50 млн звонков с подменой номера предотвращалось ежемесячно.

🔹 908 млн номеров проверены через КСИМ.

🔹 128 млн нарушений выявлено.

📸 Статистика ГРЧЦ: смотреть 

🔗 Данные ЦМУ ССОП: перейти 

💡 Мошенникам становится всё сложнее, но оставайтесь бдительными! Никогда не передавайте личные данные по телефону, даже если звонящий представляется банком или госслужбой.

PS: Что внедрено в мире?

⚔️ В США и Европе используются AI-антифрод-системы от Google, Microsoft, IBM.

🛡 В Китае ИИ-платформы обнаруживают мошенников по голосу в реальном времени.

#ТелефонныеМошенники #Антифрод #КСИМ #ЗащитаДанных