24/09/25
Облачный провайдер K2 Cloud (входит в экосистему К2Тех) объявил о запуске закрытой программы по поиску уязвимостей на площадке Standoff Bug Bounty. Проект сфокусирован на выявлении критически опасных угроз, включая компрометацию инфраструктуры, обход облачной изоляции и несанкционированный доступ к ресурсам клиентов. На старте программы максимальное вознаграждение за найденную уязвимость может достигать 300 000 рублей.
По данным исследования Positive Technologies, активность злоумышленников смещается в сторону облачных провайдеров и дата-центров. Их компрометация несет серьезные риски для бизнеса. В случае успешной атаки злоумышленники могут получить доступ к инфраструктуре не только самих сервисов, но и их клиентов-организаций при наихудшем сценарии. Это приводит к нарушению бизнес-процессов компаний, утечке данных и финансовым потерям.
Кроме того, атакующие все чаще используют легитимные инструменты для маскировки вредоносной активности, что значительно усложняет обнаружение угроз. Программы багбаунти в таком случае помогают находить уязвимости до их эксплуатации и повышать уровень защищенности бизнеса.
«K2 Cloud стремится соответствовать высоким стандартам безопасности заказчиков и открыт для сотрудничества. Уровень защищенности нашей платформы подтвержден ведущими отраслевыми стандартами, включая федеральный закон № 152-ФЗ, PCI DSS 4.0 и ГОСТ Р 57580.1-2017. Ключевой фокус для нас — эффективная защита облака, — отметил Александр Лугов, руководитель группы по обеспечению информационной безопасности облачной платформы K2 Cloud. — Поэтому мы приняли решение пригласить внешних исследователей, которые помогут сделать платформу еще надежнее. В программе багбаунти вознаграждение зависит от реальных находок, что повышает мотивацию к глубинному поиску уязвимостей. В совокупности с регулярными пентестами это делает систему защиты нашей облачной инфраструктуры более живой и эффективной».
В рамках закрытой программы испытанию подвергнутся все сервисы платформы, ключевые из которых: веб-консоль управления, сервисы хранения данных S3, виртуальные машины EC2 и система управления доступом IAM. За обнаружение критически опасной уязвимости (например, приводящей к удаленному выполнению кода (RCE), получению доступа к внутренней инфраструктуре) предусмотрено вознаграждение до 300 тысяч рублей. Программа также охватывает уязвимости, связанные с внедрением кода (SQLi, XML, SSTI) и операциями с файлами (LFI, RFI, XXE), с призовым фондом до 150 тысяч рублей.
Standoff Bug Bounty — крупнейшая российская платформа для поиска уязвимостей в системах компаний. С момента запуска в мае 2022 года площадка привлекла свыше 29 тысяч исследователей кибербезопасности. За последние полтора года число белых хакеров на ней увеличилось более чем в три раза, а общее количество сданных отчетов — более чем в пять раз. Всего на платформе было опубликовано свыше 300 программ по поиску уязвимостей, а общий объем вознаграждений составил более 300 млн рублей.
Positive Technologies и компании экосистемы К2Тех последовательно расширяют сотрудничество. Летом 2025 года К2 Кибербезопасность, бизнес-партнер Positive Technologies, получила от вендора сертификат Авторизованного сервисного центра по ключевым решениям в области кибербезопасности. Осенью того же года система поведенческого анализа сетевого трафика PT Network Attack Discovery (PT NAD) и платформа К2 Cloud успешно прошли тестирование на совместимость. Интеграционное решение уже позволяет компаниям выполнять мониторинг сети в облачной инфраструктуре.
