🐞 Что новенького, BI.ZONE Bug Bounty?

Наша платформа растет и развивается. Делимся последними значимыми нововведениями:

🔵Переработали расчет топа исследователей с начала этого года: теперь отчеты учитываются в квартале, в которым были протриажены.
🔵Добавили новый способ оплаты.
🔵Улучшили верстку на мобильных устройствах.
🔵Добавили превью для изображений.
🔵Добавили англоязычный перевод для лендинга площадки.
🔵Поправили скрол при переходе в режим просмотра своих отчетов.

А еще мы внесли много косметических изменений на платформе, чтобы вам стало удобнее сдавать отчеты и получать выплаты.

Продолжаем делать платформу лучше и комфортнее ;)

#bizone_bb_updates

💙 От любви до выплаты — один шаг

Представляем новую программу от VK с сервисами «VK Знакомства» и «ОК Знакомства». Теперь вы можете получать выплаты, свайпая анкеты и погружаясь глубже в инфраструктуру дейтинг-сервисов.

За помощь в соединении сердец можно получить до одного миллиона рублей.

Ищите новые сервисы по ссылке.

Удачных поисков ;)

🪲 Мы на Learning Bear в «Сириусе»

Андрей Лёвкин съездил на Learning Bear и рассказал юным специалистам по кибербезопасности, как их опыт в CTF поможет стать успешными багхантерами и почему это крутой вариант для старта карьеры в кибербезе.

В докладе Андрей объяснил, как работает багбаунти, в чем разница с CTF и что происходит по ту сторону платформы после сдачи отчета.

Фотокарточки прилагаются!

😆 Как прошел BUGS ZONE 4.0

В прошлую пятницу мы провели церемонию награждения BUGS ZONE 4.0. Раскрываем карты и объявляем победителей публично!

Ими стали:

1️⃣adsec2s
2️⃣porridge
3️⃣brain
4️⃣m4nd3r50n
5️⃣kaban4ik

Мы очень рады, что в нашем сообществе и в топе ивента появляются новые скиловые ребята. Так держать!

Отдельно хотим поблагодарить спикеров за интересные доклады и вендоров за отличный скоуп и активности. 

Спасибо всем, кто принял участие в ивенте, было круто❤️

Фотографии и доклады выложим чуть позже, об этом будут отдельные посты.

Мурчим вам теперь не только в отчетах, но и в стикерах. Забирайте себе ниже!

Открыли прием заявок на Pentest award 2025!

💡Каждый год мы зажигаем новые яркие лампочки в гирлянде отечественного рынка кибербезопасности — компетентных специалистов, которые остаются за кадром большой работы по поиску уязвимостей.

Участие все еще бесплатное, а прием заявок продлиться до 30 июня. В этом году появились новые номинации от спонсоров проекта: Совкомбанк Технологии и BI.ZONE Bug Bounty.

🥇Главный приз за победу — стеклянная именная статуэтка и макбук!
🥈🥉За вторые и третьи места призеры получат айфоны и смарт-часы.
🎬OFFZONE подарит финалистам билеты на свою конференцию 2025.
✏️А учебный центр CyberEd гранты на обучения.
Ну и конечно, самая ценная награда за участие — почет и уважение сообщества этичных хакеров.

Отправляйте заявки на сайте, участвуйте и побеждайте!

🐞 Награждение BUGS ZONE 4.0 начнется через час!

В 18:00 встретимся, чтобы отпраздновать завершение ивента.

Впереди крутые доклады, море нетворкинга и афтепати для самых стойких.

После мероприятия традиционно поделимся фотографиями и полезным контентом.

😆 Встречайте переходящий кубок победителя BUGS ZONE!

Мы создали артефакт, который положит начало новой традиции. Теперь каждый BUGS ZONE будем передавать его от победителя к победителю.

Кубок не простой, а именной. После награждения нанесем на него ник лучшего исследователя за период четвертого ивента. А кто это будет — узнаем уже завтра :)

Почему мы сделали кубок в виде тройной буквы B? Все просто: BI.ZONE Bug Bounty.

😆 I квартал закончился: who's the best?

На календаре уже апрель, а значит, пора рассказать, кто в этот раз занял почетные места в рейтинге платформы. 

Оглашаем список лидеров:

King of reports:

1️⃣brain
2️⃣shdw
3️⃣crusher

Top moneymaker:

1️⃣shdw
2️⃣mr4nd3r50n
3️⃣ratel_xx

Jack of all trades:

1️⃣brain
2️⃣shdw
3️⃣crusher

В качестве бонуса начислим 5% к каждой выплате во II квартале.

Успешной охоты в следующем рейтинговом сезоне!

🐞 Победители One Task of the Month

В начале апреля мы запустили таск в рамках CTF-турнира от CyberEd.

И вот как это было:

🔵7 дней решали таск.
🔵15 решений.
🔵150 очков рейтинга суммарно для получения на платформе.

Победителем стал s41nt0l3xus. Поздравляем!

А на церемонию награждения BUGS ZONE 4.0 отправятся Jice, masdevas и Antart.

В ближайшее время мы свяжемся с вами по электронной почте.

Спасибо каждому из вас за участие.

Впереди еще много активностей, не переключайтесь!

🪲 Собственный VPN, поддержка комьюнити и другие особенности BI.ZONE Bug Bounty

Что привлекает вендоров в багбаунти и как белые хакеры помогают организациям защититься от киберугроз?

Редакция CNews пообщалась с Андреем Лёвкиным, руководителем продукта BI.ZONE Bug Bounty, чтобы получить ответы на эти и другие вопросы.  

В ходе интервью обсудили:

🟦статистику по уязвимостям за 2024 год;
🟦причины, по которым финансовые и государственные организации выходят на багбаунти;
🟦шаги, которые должен пройти вендор для запуска программы багбаунти;
🟦уникальные фичи нашей платформы;
🟦активное участие команды BI.ZONE Bug Bounty в популяризации багхантинга в России;
🟦планы по развитию платформы на 2025 год. 

Читать интервью

🐞 Вы сдали уже 10 правильных ответов в One Task of the Month

Так держать!

Впереди еще один день. Если вы не успели решить таск — самое время это сделать.

Напоминаем, первый, кто отправит решение, станет обладателем нашего мерча, а три случайных счастливчика из числа выполнивших задание получат проходки на церемонию награждения BUGS ZONE 4.0.

👁‍🗨 Запускаем call for papers!

В этом году наша конфа вновь собирает лучших экспертов — и мы открываем прием заявок для спикеров.

Ждем доклады на самые разные темы: опенсорс, применение AI/ML в кибербезопасности, уязвимости в парсерах, пентест Wi-Fi и не только. Не бойтесь предложить что-то свое.

Если ваша заявка пройдет, вы получите бесплатную проходку, приглашение на Speaker party, фирменный мерчпак и другие плюшки.

Чтобы разобраться, как отбирают доклады, читайте нашу статью на «Хабре».

Кстати, заявки принимаем до 10 июля. Советуем не откладывать подачу до дедлайна.

➡️ Подать заявку

Уже на следующей неделе объявим о продаже билетов — следите за новостями.

🐞 Весна пришла и вдохновила нас на новые заставки

Совсем скоро нас ждут летние веранды и теплые деньки.

Поэтому сделали два вида весенних заставок: для мобильных и десктопных устройств.

Прикрепили в комментариях файлы в хорошем качестве ;)

🐞 One Task of the Month стартует через 3… 2… 1

Начинаем! Наш таск в рамках CTF-турнира от CyberEd на проде.

Вот все, что нужно знать об этой активности:

🔵Категория: web.
🔵Сложность: medium.
🔵Время выполнения: до 11 апреля включительно.
🔵Призы:
— Первый участник, сдавший флаг, получит наш фирменный мерч.
— Три случайных участника, выполнивших таск, получат проходки на церемонию награждения BUGS ZONE 4.0 18 апреля в Москве.

Также всех решивших задание наградим ачивкой на нашей платформе и начислим очки рейтинга.

Успехов!

Реклама

прислал(-а) Вам подарок

Дубликат

Где деньги бонусы, Лебовски?

Отвечаем: вся активность и количество бонусов VK Bug Bounty в одном месте! Теперь каждый участник программы ❤️ Bug Bounty может отслеживать свой прогресс в новом личном кабинете на VK Bug Bounty.

В личном кабинете доступны:

🔵количество сданных отчетов
🔵накопленный бонус Bounty Pass
🔵срок его действия

Статистика собирается автоматически со всех платформ Standoff Bug Bounty, BI.ZONE Bug Bounty и Bugbounty.ru — ни один отчет не останется без внимания.

Не забывайте, бонусы можно накапливать! С каждым оплачиваемым отчетом — до +5% к следующему вознаграждению.

Больше критов — больше наград!

🔗 Регистрируйтесь прямо сейчас!

VK Security

#bugbounty #bountypass

😀😃😄😁 Осталась неделя до начала BUGS ZONE 4.0

Совсем скоро мы свяжемся с самыми активными исследователями нашей платформы и разошлем им приглашения в закрытый чатик. 

А после подведения итогов встретимся вживую на церемонии награждения. 

С нас угощения и ламповая тусовка, с вас — хорошее настроение. 

Какие этапы впереди:

🔷Старт исследования скоупа — с 1 по 15 апреля. 
🔷Церемония награждения — 18 апреля в Москве. 

По итогам первого этапа мы наградим топ-5 участников, а вендоры дополнительно выделят лучших багхантеров по своим программам.

Желаем успехов!

🏆 Открыта регистрация на VolgaCTF 2025 Qualifier

Хорошие новости!

Наши друзья из VolgaCTF объявили регистрацию на отборочный этап соревнований. Присоединяйтесь, чтобы проверить свои силы. 

Лучшие команды по результатам квалов попадут на юбилейный, пятнадцатый финал в Самаре. Это отличная возможность попробовать свои силы и почилить осенью на Волге ;)

Формат: командный, task-based, 24 часа

Когда: 29–30 марта, 15:00 (мск)

Зарегистрироваться

🐞 Океан и вулканы — романтика для поиска багов

На платформе теперь можно исследовать программу Камчатского края. В скоупе — официальный сайт исполнительных органов Камчатского края.

За найденные уязвимости ждет награда до 40 тысяч рублей.

Вперед, на серфинг программы

😀😃😄😁 BUGS ZONE 4.0 стартует 1 апреля. И это не шутка!

Наш приватный ивент возвращается. 

Безукоризненный скоуп, крутые призы и офлайн-тусовка с топами нашей платформы — это все про него. 

Этапы остались теми же:

🔷Онлайн-часть с хантингом на закрытом скоупе.
🔷Очная церемония награждения в Москве с приватной вечеринкой. 

Скоро мы разошлем приглашения нашим самым крутым исследователям.

Попасть в список участников BUGS ZONE 4.0 еще не поздно: для этого активно сдавайте баги на нашей платформе и качайте рейтинг. Мы обязательно вас заметим и придем с приглашением.

Подробности расскажем совсем скоро. Stay tuned :)

🐞 Пять тысяч — не предел

Поздравляем всех нас с новым достижением — пять тысяч участников в нашем канале!

Спасибо вам за активность, комментарии, интересный контент и искреннюю вовлеченность. Вы — наше вдохновение и наша радость.

В честь достижения все участники канала получают привилегированный доступ к сердечку нашей команды.

Дальше нас ждут ещё больше контента, креатива и полезностей по багбаунти. Не переключайтесь :)

😆 Сказ о житии багхантерском: что бы ты сказал себе в начале пути?

Начинать всегда сложно. Багхантинг не исключение.

Но есть вариант облегчить себе путь к первому принятому отчету.
Как? Спросить совета у опытного ресерчера.

Мы попросили трех исследователей рассказать, что бы они сказали себе в начале багхантерского пути. 

Вот что они ответили:

Не стоит опасаться исследовать то, что, как вам кажется, уже было изучено другими.

В качестве примеров можно привести такие работы, как исследование firs0v, раскрывающее уязвимости на странице входа в PayPal, или кейсы от Black2fan с уязвимостями на главной странице «Яндекса».

Подобные примеры показывают, что даже те места, которые кажутся исчерпанными, могут скрывать новые и важные находки.

Не позволяйте мысли о том, что все уже взглянули на это, останавливать вас: ваша перспектива и подход могут принести свежие открытия!

Bo0oM

Начинать нужно с малого. Не гонись за сложными проектами и большими выплатами, попробуй для начала программы, в которых небольшие вознаграждения: в них шансы найти уязвимость очень высок. 

Грамотно оформляй отчет, подробно опиши шаги воспроизведения, приложи тестовые доказательства (запросы, скриншоты, видео). Это повысит шансы на быстрое решение вендора и выплату вознаграждения. Не забывай использовать заголовок X-Bug-Bounty при исследованиях.

crusher

Не переключаться так часто между программами, а посидеть поресерчить подольше — это обязательно даст свои плоды.

Не багхантить, если нет настроения, делать все в кайф. А еще лучше найти команду, так веселее :)

SidneyJob

Вывод напрашивается сам собой: верьте в себя и не опускайте руки раньше времени. Вода камень точит.

🪲 Советы для багхантеров от команды BI.ZONE Bug Bounty 🪲

1️⃣Как можно подробнее описывайте шаги в отчете
Отчет с одним скрином и отсутствием пояснений становится головоломкой, которую нужно разгадывать. Постарайтесь описывать все действия для воспроизведения уязвимости вместе с ссылками и желательно видео PoC. Это ускорит рассмотрение отчета и облегчит жизнь триажера, а вам +rep.
2️⃣Дублируйте текстом запросы из скриншотов
Да, для считывания текста с картинок есть нейросети, но мы использовать их не можем. Нам остается лишь пытаться воспроизвести запрос вручную, а это крайне занудная задача. Если же триажеру для получения запроса придется лишь поменять пару полей, отчет примут быстрее, а уважение к вам возрастет.

3️⃣Правильно выбирайте задачи и адекватно выставляйте критичность
Правильно выбранная задача из списка в программе ускорит поиск дублей, что заметно сократит время рассмотрения отчета. Адекватное выставление критичности убережет вендора от необходимости поднимать специалистов в субботу вечером из-за XSS с уровнем critical на лендинге.

С кайфом, команда BI.ZONE Bug Bounty 💙 x Похек 🌚

🪲 Советы для багхантеров от команды BI.ZONE Bug Bounty 🪲

1️⃣Как можно подробнее описывайте шаги в отчете
Отчет с одним скрином и отсутствием пояснений становится головоломкой, которую нужно разгадывать. Постарайтесь описывать все действия для воспроизведения уязвимости вместе с ссылками и желательно видео PoC. Это ускорит рассмотрение отчета и облегчит жизнь триажера, а вам +rep.
2️⃣Дублируйте текстом запросы из скриншотов
Да, для считывания текста с картинок есть нейросети, но мы использовать их не можем. Нам остается лишь пытаться воспроизвести запрос вручную, а это крайне занудная задача. Если же триажеру для получения запроса придется лишь поменять пару полей, отчет примут быстрее, а уважение к вам возрастет.

3️⃣Правильно выбирайте задачи и адекватно выставляйте критичность
Правильно выбранная задача из списка в программе ускорит поиск дублей, что заметно сократит время рассмотрения отчета. Адекватное выставление критичности убережет вендора от необходимости поднимать специалистов в субботу вечером из-за XSS с уровнем critical на лендинге.

С кайфом, команда BI.ZONE Bug Bounty 💙 x Похек 🌚

😆 Пришел, увидел, разместил проект

На платформе вышла новая публичная программа — от облачной платформы Beget.

Для исследования доступно более 10 ресурсов, среди которых:

🔵облачные сервисы,
🔵инструменты для хостинга,
🔵почтовые сервисы.

За найденные уязвимости можно получить до 400 тысяч рублей.

Вперед, на поиски уязвимостей

🚀 Открыта регистрация на Learning Bear 2025! 🚀

Готовы к вызову? Время начать игру.

📅 Регистрация уже доступна. Не теряйте время!

🕛 Старт соревнований — 8 марта в 12:00 по московскому времени.

💡 Важно знать:

☑️Участвовать может любой желающий из любой точки России, возраст 18+.
☑️Игра с индивидуальным зачётом.
☑️Укажите ваш вуз и город — это поможет нам с организацией.
☑️Мы автоматически пригласим лучших 30 участников на площадку МИФИ в Сириусе на большой модуль Learning Bear.
☑️Длительность соревнований — 24 часа.

Жмите на ссылку и заполняйте форму!
🔗 https://ctfd.digital.mephi.ru/

Следите за подробностями:
https://t.me/+ij1n3qDhb1gyMGM6
https://vk.com/learningbearclub


#LearningBear2025 #РегистрацияОткрыта #CTF #ИнформационнаяБезопасность

Наши друзья из @volgactf готовят еще один не менее интересный проект — Learning Bear 2025.

Регистрация открыта. По итогам отборочных вас ждет неделя обучения на площадке МИФИ в «Сириусе».

Залетайте! 😆

💫 Тяжело в учении, легко в багхантинге

Для тех, кто скучает по учебе, на нашей платформе вышла новая программа от Сбера по поиску уязвимостей в СберУниверситете.

Для исследования доступны:

🔵Сайт
🔵Образовательная платформа
🔵Медиатека
🔵SberQ
🔵Конструктор курсов 2.0

Максимальная награда — 200 тысяч рублей.

Ждем вас в аудитории программе.

😆 Вклад в безопасность с хорошей доходностью

На нашей платформе появилась новая программа от финансового партнера. МКБ запустил программу.

В скоуп вошли:

🔵 Главная страница онлайн-банка
🔵 Портал дистанционного обслуживания юридических лиц
🔵 Мобильные приложения «МКБ Онлайн» и «МКБ Бизнес»

За найденные баги можно получить до 250 тысяч рублей.

Исследовать программу

😆 И пряниками, и скоупом заманивает

Делимся прекрасными новостями: Тульская область порадовала наше сообщество обновлением своей программы.

Теперь для исследования доступны:

🔵Портал МФЦ Тульской области
🔵Портал для записи в учреждения здравоохранения
🔵Портал «Открытый регион»

За найденные уязвимости можно получить до 35 тысяч рублей.

Ставьте самовар — и вперед, искать баги.

💙 Весна скоро — иксы прилетели

На просторах багхантинга становится теплее, и на платформу прилетело увеличение выплат в программе «VK Видео» в два раза. Повышение длится с 28 февраля по 28 марта.

Хорошим дополнением к акции остается Bounty pass: Forever — он дает бонус к выплатам за каждую уязвимость на 1–5% в зависимости от критичности и позволяет багхантерам копить заслуженные проценты.

По итогам квартала активные исследователи получают еще и эксклюзивный мерч.

Вперед, встречать иксы на нашей платформе.

😆 (Не)секретный чатик багхантеров

А вы знаете, что у нашего комьюнити есть чат, в котором общаются исследователи и команда платформы? Там уже больше 250 человек, не хватает только вас!

Залетайте в чат, чтобы:

🔵Общаться с другими хантерами.
🔵Получать помощь и делиться опытом.
🔵Быть на связи с командой платформы.
🔵Оставаться в курсе новостей.
🔵Вместе посещать багбаунти-ивенты.
🔵Делиться мемами и просто болтать о багхантинге.

Присоединяйтесь, будем вместе прокачиваться в работе с уязвимостями ;)

🔹VK Security Confab #3: всё о Bug Bounty

27 февраля в московском офисе 💙 встречаемся на митапе VK Security Confab. В этот раз обсудим секреты и подводные камни Bug Bounty, техники поиска, инструменты и найденные уязвимости.

Программа митапа уже на сайте, а вот небольшой спойлер:

🔵Петр Уваров поделится планами VK Bug Bounty в 2025 году.

🔵Алексей Лямкин расскажет, как устроен триаж изнутри.

🔵Анна Куренова (SavAnna) поделится мнением, почему дубликат — это не проклятие, а ценный урок.

🔵Юрий Ряднина (circuit) покажет дисклозы нескольких уязвимостей ВКонтакте.

🔵Алексей Жучков (zerodivisi0n) продемонстрирует реальные кейсы, которые могут привести к удаленному исполнению кода.

И конечно, афтепати! 🔹
Обсудим доклады, обменяемся идеями и классно проведем время.

🔹 Скорее регистрируйтесь!
Встреча пройдет только офлайн, онлайн-трансляции и записи не будет.

🔹 Сбор гостей в 18:30, начало — в 19:00.

VK Security

#митап #confab #bugbounty

😆 Отыщите баги в глубинах маркетинга

На нашей платформе вышла программа от СберМаркетинга — одного из лидеров рекламного рынка.

В скоупе:

🔵Сайт СберМаркетинга.
🔵Интернет-магазин SberShop.

За найденные уязвимости можно получить до 80 тысяч рублей.

Отыщите баги в глубинах маркетинга по ссылке.

😆 Пуш от «Авито»: вам готовы заплатить больше

Теперь уязвимости в программе «Авито» стоят дороже. Условия прежние: валидный баг, не б/у.

Выплаты за некоторые уязвимости выросли почти в два раза:

🔵Critical — до 500 000 ₽.
🔵High — до 300 000 ₽.
🔵Medium — до 100 000 ₽.
🔵Low — до 20 000 ₽.

Не ждите, пока кто-то сдаст баги, а отправляйте отчеты о них первыми на нашей платформе.

😆 Хосты, сайты, облака

Для поиска уязвимостей доступна платформа BILLmanager. Она ориентирована на управление облачными и аппаратными инфраструктурами, включая гибридные и мультиоблачные среды.

За найденные баги можно получить до 100 тысяч рублей.

Исследовать программу