Завершился шестой международный ивент Standoff Hacks — мероприятие с участием лучших ИБ-исследователей, резидентов площадки Standoff Bug Bounty. В нём приняло участие 30 российских и иностранных специалистов, которые в течение двух недель проверяли на прочность системы «Т-Банка» и Wildberries — сильная интернациональная команда помогала бизнесу выявить опасные уязвимости.
В 2025 году ивент впервые совпал с конференцией BSides Ahmedabad, где площадка получила статус Bug Bash Partner. «Сочетание опыта российских и зарубежных багхантеров повышает качество проверок, благодаря которым компании могут стать заметно устойчивее к глобальным угрозам», — отметил Азиз Алимов, руководитель Standoff Bug Bounty. В рамках Standoff Hacks безопасники сдали 298 отчётов об обнаруженных уязвимостях. За подтверждённые находки компании выплатили «белым хакерам» более 8 млн рублей.
По мнению Елизаветы Дудко, Bug Bounty Lead, для «Т-Банка» участие в киберучениях — это возможность усилить свою безопасность за счёт «синергии наших постоянных исследователей и новых иностранных участников». Чаще всего в этот раз встречались технические баги, которые позволяли получить несанкционированный доступ (Broken Access Control/BAC) и внедрить вредоносный код в веб-страницу (XSS). По итогам тестирования члены команды суммарно заработали 4,5 млн рублей, а максимальная награда за одного «жука» составила около 1 млн рублей.
Руководитель направления продуктовой безопасности Wildberries & Russ Александр Хамитов акцентировал внимание на возможностях «обменяться опытом с профессионалами совершенно разного бэкграунда». За эти две недели компания получила 175 отчётов, среди которых 64 было принято. Большинство уязвимостей относилось к наиболее популярным типам — Sensitive Information Disclosure, Broken Access Control и Insecure Direct Object Reference. По итогам тестирования маркетплейс выплатил багхантерам около 3,5 млн рублей.
Усам Оздемиров
