ar
Feedback
InfoSec VK Hub

InfoSec VK Hub

الذهاب إلى القناة على Telegram

Новости, митапы и вакансии от команды информационной безопасности VK и, конечно, программа Bug Bounty.

إظهار المزيد
3 064
المشتركون
لا توجد بيانات24 ساعات
+37 أيام
-2130 أيام

جاري تحميل البيانات...

القنوات المماثلة
لا توجد بيانات
هل تواجه مشاكل؟ يرجى تحديث الصفحة أو الاتصال بمدير الدعم الخاص بنا.
الإشارات الواردة والصادرة
---
---
---
---
---
---
جذب المشتركين
يوليو '26
يوليو '26
+4
في 0 قنوات
يونيو '26
+42
في 3 قنوات
Get PRO
مايو '26
+30
في 3 قنوات
Get PRO
أبريل '26
+45
في 0 قنوات
Get PRO
مارس '26
+132
في 5 قنوات
Get PRO
فبراير '26
+127
في 7 قنوات
Get PRO
يناير '26
+392
في 1 قنوات
Get PRO
ديسمبر '25
+46
في 2 قنوات
Get PRO
نوفمبر '25
+47
في 1 قنوات
Get PRO
أكتوبر '25
+45
في 3 قنوات
Get PRO
سبتمبر '25
+94
في 3 قنوات
Get PRO
أغسطس '25
+60
في 3 قنوات
Get PRO
يوليو '25
+97
في 9 قنوات
Get PRO
يونيو '25
+115
في 5 قنوات
Get PRO
مايو '25
+32
في 3 قنوات
Get PRO
أبريل '25
+105
في 2 قنوات
Get PRO
مارس '25
+100
في 16 قنوات
Get PRO
فبراير '25
+149
في 9 قنوات
Get PRO
يناير '25
+167
في 2 قنوات
Get PRO
ديسمبر '24
+1 445
في 61 قنوات
Get PRO
نوفمبر '24
+155
في 13 قنوات
Get PRO
أكتوبر '24
+559
في 14 قنوات
التاريخ
نمو المشتركين
الإشارات
القنوات
01 يوليو+4
منشورات القناة
🚀 И сразу к новым выпускам подкаста «Спасибо за репорт» В одном из следующих эпизодов меняем привычный формат: отвечать на в
🚀 И сразу к новым выпускам подкаста «Спасибо за репорт» В одном из следующих эпизодов меняем привычный формат: отвечать на вопросы будут не багхантеры, а представители багбаунти-программ. 💬 Поэтому мы открываем сбор вопросов. Для этого сделали отдельного бота — отправляйте всё, что давно хотели спросить. Например: • про триаж и выплаты; • про внутренние процессы; • про назначение выплат; • и любые другие темы, которые вам интересны. 🔹 Неважно, давно ли вы в багбаунти или только начинаете разбираться в теме. Если у вас появился вопрос, скорее всего, он волнует и многих других. Поэтому не стесняйтесь — задавайте даже самые простые и базовые вопросы. И да, не ограничивайтесь одним: присылайте столько вопросов, сколько захотите. Мы выберем самые интересные и обсудим их вместе с вендорами в новом выпуске. 🔹 Задать вопрос👇 #bugbounty #подкаст

2
📹 Второй выпуск «Спасибо за репорт» уже доступен! Разбираемся, как появился HackAdvisor и что на самом деле стоит за отзывам
📹 Второй выпуск «Спасибо за репорт» уже доступен! Разбираемся, как появился HackAdvisor и что на самом деле стоит за отзывами о программах: месяцы, а иногда и годы работы багхантеров. В первом выпуске вместе со Slonser мы обсуждали, как ИИ-агенты меняют багхантинг. Теперь — о том, как знания и опыт комьюнити помогают делать Bug Bounty лучше для всех участников. Наш гость — Заур Заурбаев (k3ypt0), создатель HackAdvisor. В выпуске обсудили: ⚡️ как появилась платформа HackAdvisor и какие задачи она помогает решать багхантерам; ⚡️ почему отзывы о программах — это не просто комментарии, а важная часть развития Bug Bounty; ⚡️ как устроена платформа: отзывы, динамика изменений программ, Labs и другие возможности; ⚡️ почему прозрачность полезна не только исследователям, но и самим программам; ⚡️ как комьюнити помогает развивать HackAdvisor и почему многие новые функции появляются благодаря предложениям хантеров. Получился искренний разговор о том, что Bug Bounty — это не только про поиск уязвимостей, но и про людей, которые помогают друг другу делать индустрию лучше. 🍿 Смотреть А что для вас важнее всего при выборе программы: размер выплат, интересный скоуп, скорость триажа или опыт других хантеров? Делитесь в комментариях 👇 #bugbounty #подкаст
1 442
3
🎙 Почему одни Bug Bounty-программы хочется рекомендовать, а другие — обходить стороной? Поговорим об этом завтра — в новом в
🎙 Почему одни Bug Bounty-программы хочется рекомендовать, а другие — обходить стороной? Поговорим об этом завтра — в новом выпуске подкаста «Спасибо за репорт». В гостях — Заур Заурбаев, создатель HackAdvisor. Обсудим, как опыт сообщества помогает выбирать программы, зачем нужны отзывы и почему прозрачность важна для всей индустрии. Ставьте 👍, если ждёте новый выпуск! VK Security | Буст этому каналу #bugbounty #подкаст@vk_security
1 557
4
Один из самых обсуждаемых ИБ-терминов последних месяцев — vibeware. Недавно у наших коллег @aihubvk вышел материал про исполь+5
Один из самых обсуждаемых ИБ-терминов последних месяцев — vibeware. Недавно у наших коллег @aihubvk вышел материал про использование LLM для автоматизации создания и модификации вредоносного ПО. Мы попросили нашего эксперта Павла Литикова поделиться взглядом на то, насколько этот тренд действительно меняет ландшафт угроз и что это означает для команд ИБ. Основные тезисы — в карточках. За последний год мы довольно много рассказывали о практическом применении AI и ML в задачах безопасности — от SOC и AppSec до защиты самих моделей ⬇️⬇️⬇️ 🔹 как LLM и ML помогают аналитикам SOC справляться с потоком алертов; 🔹как мы используем VK LLM в DevSecOps для автоматизации поиска и анализа секретов; 🔹 как мы автоматизировали создание Nuclei-шаблонов по отчётам об уязвимостях; 🔹 как выстраивается безопасность AI-платформ и защищаются модели на всех этапах жизненного цикла. VK Security | Буст этому каналу #AISecurity #мнение #эксперт
1 084
5
Как закрывать риски внедрения вредоносного ПО ещё до продакшена? 17 июня на VK Cloud Conf 2026 Игорь Игнатьев, руководитель н
Как закрывать риски внедрения вредоносного ПО ещё до продакшена? 17 июня на VK Cloud Conf 2026 Игорь Игнатьев, руководитель направления защиты приложений VK, выступит с докладом: «Доверенная среда разработки: как обеспечить чистоту кода и закрыть риски внедрения вредоносного ПО». Тема особенно актуальна сейчас: атаки на цепочку поставки кода становятся всё привычнее. Вредоносные зависимости, скомпрометированные образы, уязвимости в сторонних компонентах — всё это уже не редкие исключения, а реальные риски для разработки. VK Security Gate — это единый контур контроля, который закрывает эти риски от момента сборки до хранения образа в Registry. Игорь расскажет, как выстроить доверенную среду разработки на российском стеке в инфраструктуре VK Cloud: 🔹что можно проверять автоматически; 🔹где выставлять блокировки; 🔹как встроить контроль в CI/CD; 🔹 как закрывать риски без потери скорости разработки. 🔹 17 июня, 12:50–13:10 Доклад: «Доверенная среда разработки: как обеспечить чистоту кода и закрыть риски внедрения вредоносного ПО» 🔹 Подробности и регистрация — на сайте конференции. #VKSecurityGate #эксперты VK Security | Буст этому каналу!
1 284
6
Привет 👋 На связи Никита Галимов, руководитель команды безопасности Технического департамента VK. 🔹 Сейчас у нас открыта ро
Привет 👋 На связи Никита Галимов, руководитель команды безопасности Технического департамента VK. 🔹 Сейчас у нас открыта роль Архитектора информационной безопасности — человека, который умеет смотреть на систему целиком: от бизнес-рисков и модели угроз до DevOps-пайплайнов, сетевых политик, легаси и целевой архитектуры. Нужно разбираться в инфраструктуре «руками» — CI/CD, подписи артефактов, Kubernetes, сетевых логах — и уметь объяснять решения разработке, CTO и продукту на языке сроков, устойчивости и стоимости риска. О задачах рассказываю ниже, смотрите и откликайтесь на сайте. 🔹 Больше вакансий от моих коллег: 🔹AppSec AppSec-инженер AppSec-инженер в MAX AppSec-инженер в VK ID 🔹InfraSec: Эксперт по инфраструктурной безопасности Технический менеджер в MAX 🔹AI Security Специалист по безопасности Gen AI 🔹SOC Аналитик Threat Intelligence в MAX Аналитик SOC (L2) в MAX 🔹Antifraud Аналитик антифрода (L2) в MAX Аналитик антифрода (L3) в MAX 🔹 Контакт для связи: @nstslis VK Security | Буст этому каналу! #вакансии
1 596
7
Ого, что?! Вышел первый выпуск нашего подкаста «Спасибо за репорт» 🎧 Это проект VK Bug Bounty для багхантеров, а также для в
Ого, что?! Вышел первый выпуск нашего подкаста «Спасибо за репорт» 🎧 Это проект VK Bug Bounty для багхантеров, а также для всех, кто формирует индустрию. Поговорим с топ-хантерами, командами bug bounty-платформ, вендорами и теми, кому не всё равно, как развивается поиск уязвимостей. Гость первого выпуска — Всеволод Кокорин aka Slonser. Разбираемся с ИИ-агентами в багхантинге без восторженных «они всё заменят» и без паники. Что уже работает, что лучше перепроверять три раза и почему хороший результат не получить без реальных знаний. Всеволод как раз из тех, кто разбирается в этом по-настоящему. Он эффективно применяет ИИ-агентов в реальных задачах и точно знает, где они ускоряют работу, а где им не стоит доверять. В выпуске: – как ИИ-агенты меняют поиск уязвимостей? – какие задачи можно отдавать агентам, а какие лучше оставить себе? – где агенты начинают галлюцинировать вместо того, чтобы искать баги? – от чего зависят аватарки Slonser'а? 🍿 Первый выпуск Ставьте лайк, шерьте друзьям, репостите в чатики — будет полезно всем, кто хочет использовать агентов точнее и получать на выходе качественные репорты. Пишите в комментариях: как вам запуск, кого позвать дальше и какие темы разобрать👇👇👇 VK Security | Буст этому каналу! #bugbounty #подкаст
3 265
8
🤖 Багхантинг + ИИ — это уже наша реальность Нейросети помогают автоматизировать рутину, ускоряют анализ, позволяют быстрее р
🤖 Багхантинг + ИИ — это уже наша реальность Нейросети помогают автоматизировать рутину, ускоряют анализ, позволяют быстрее разбирать большие объёмы данных и искать нестандартные векторы. Мы сами видим много кейсов, где ИИ реально помогает хантерам усиливать свой подход. 🔹 Но есть и обратная сторона. За последние месяцы мы столкнулись с резким ростом количества сгенерированных отчётов. Речь не про единичные случаи, а буквально про десятки подобных репортов каждую неделю. Чаще всего это выглядит так: ▫️ агент генерирует набор «уязвимостей» по шаблону; ▫️ хантер не проверяет выводы вручную; ▫️ отчёт улетает в программу без PoC, без подтверждения импакта и без понимания, существует ли проблема вообще. Иногда это доходит до абсурда. Например: ▫️репорт с критической уязвимостью, где вместо развернутого отчета — скрины переписки с Deepseek и ссылка на чат, чтобы мы спросили, как уязвимость была найдена; ▫️пачки одинаковых репортов, которые выглядят страшно только на словах, но не приводят ни к какой атаке; ▫️«информативные» и невалидные отчеты, которые ИИ сам же не признаёт уязвимостями после простого уточняющего вопроса. Большой поток нейрослопа влияет на всю экосистему багбаунти: 🔹растёт время обработки отчётов; 🔹увеличивается бэклог; 🔹триаж тратит ресурсы на откровенный шум; 🔹 замедляются ответы даже на хорошие и критические находки. Есть и менее очевидная проблема — замыливается восприятие. Когда подряд смотришь десятки сгенерированных репортов без доказательств, к следующему отчёту автоматически появляется скепсис, даже если он валидный. Некоторые зарубежные программы и платформы уже начали вводить ограничения: 🔹 требования по репутации и signal score; 🔹 ограничения на отправку отчётов; 🔹 механики платной отправки High/Critical-репортов с возвратом средств за валидные находки; 🔹 внутренние AI-фильтры и автоматический триаж. 🔹 Мы тоже начали адаптировать процессы под новую реальность. За последний квартал мы обновили внутренние правила и усилили проверку подобных отчётов. В том числе протестировали механику промпт-инъекций против AI-агентов и вайбхантинга. 🔹 Опытные хантеры уже используют ИИ как инструмент для автоматизации рутины, для обработки больших объёмов данных, для ускорения хантинга, для генерации гипотез и поиска нестандартных цепочек. Проблема начинается тогда, когда AI полностью заменяет понимание атаки и ручную проверку — без понимания угрозы и знания уязвимостей не получится их находить даже с помощью ИИ. Некоторые слишком сильно доверяют этому и могут столкнуться с неприятными последствиями. Если уязвимость нельзя воспроизвести, объяснить и показать её влияние на безопасность — это невалидный отчёт. Даже если он красиво оформлен и наполнен красивыми и сложными терминами, которые сгенерировала нейросеть. Если AI-агент «нашёл», что на ресурсе есть компонент с уязвимой версией, что может привести к critical devtools xss injection, и вы это сдали — это тоже будет невалидным отчётом. Поэтому, если пользуетесь ИИ-агентами для поиска уязвимостей, перед отправкой репорта стоит задать простой вопрос: «Примут ли эту уязвимость в bug bounty?». Очень часто после этого вопроса агент сам отвечает: «Ты абсолютно прав, это не примут в bug bounty» 🔹 И, кстати, если вы пропустили — доклад Петра Уварова с митапа о том, почему не стоит слепо доверять ИИ и как триажеры разбирают потоки сгенерированных отчётов: 👉 Смотреть презентацию P.S. Следите за новостями канала! Совсем скоро стартуем с новым крутым проектом. Совсем скоро стартуем с новым проектом, в котором будем говорить о реальном опыте багхантеров. И, конечно, тема ИИ не останется без внимания! VK Security | Буст этому каналу! #bugbounty
1 472
9
Сегодня — о том, где на практике ломается привычное представление о защите данных в продуктовых компаниях. А именно: что прои
Сегодня — о том, где на практике ломается привычное представление о защите данных в продуктовых компаниях. А именно: что происходит, когда требования закона сталкиваются с реальной архитектурой продукта. На уровне формулировок всё выглядит довольно просто: данные нужно хранить безопасно, ограничивать доступ, удалять по запросу, не передавать без оснований. Но как только это нужно реализовать в живой системе, появляется совсем другой уровень сложности. Потому что «персональные данные» внутри продукта — это не одна сущность. Это несколько хранилищ, аналитические витрины, антифрод-системы, интеграции с внешними сервисами, множество ролей и доступов. Требования понятны, а вот их реализация — это уже инженерная задача. 🔹 Типовой кейс Пользователь запрашивает удаление своих данных. Снаружи процесс выглядит линейно: запрос → обработка → удаление → ответ. Внутри всё значительно сложнее. К этому моменту данные уже могут: • разъехаться по разным сервисам; • использоваться в аналитике; • участвовать в антифроде; • лежать в резервных копиях; • быть переданными третьим сторонам. Если удалить всё без разбора — есть риск сломать продукт. Не удалить — нарушение требований законодательства. Как это решается на практике? Сначала нужно понять: • где обрабатываются данные; • как устроены процессы передачи и потоков данных; • как данные переиспользуются и обогащаются в процессах; • как организован процесс работы с данными, кто и как к ним имеет доступ. Дальше появляются инженерные решения: • где необходимо удаление; • где можно применить обезличивание; • где — ограничение доступа через роли и IDM; • где нужно изменить процессы обработки данных. И всё это — баланс между законом, архитектурой и бизнесом. 🔹 За рамками compliance На рынке часто функцию защиты данных закрывают через юридическую экспертизу. Это логично: регуляторика сложная, требования и штрафы растут, коммуникация с регуляторами критична. Но без технического слоя остаются слепые зоны, которые часто игнорируются при удалении: • реальные механики хранения данных и доступа к ним, • временные и файловые хранилища, • аналитические данные, • логи и технические журналы, • локальные доступы, • методы обезличивания, • движение данных между сервисами и третьими лицами, • каналы передачи данных, • поведение бэкапов, • процессы восстановления данных, • фактическое состояние данных после «удаления», • идентификаторы или совокупность/связка данных, по которым можно восстановить данные, • копии данных. 🔹 А как у нас? Традиционный подход — когда за защиту данных отвечают юристы, а инженеры «исполняют требования» — неизбежно приводит к разрыву между документацией и реальностью. Мы в VK выстраиваем защиту данных иначе: она изначально встроена в архитектуру и процессы разработки. Требования закона не появляются неожиданно на этапе релиза — они учитываются заранее, на этапе проектирования системы. Без встроенных инструментов даже прописанные политики и регламенты остаются просто бумагой. В VK реализованы инструменты для категорирования и маркировки данных, аудита доступов, ведения спецификаций, реестров и потоков данных, обезличивания и безопасной обработки данных при использовании AI. Это позволяет не просто «соблюдать законы», а сделать защиту данных прозрачной, измеримой и устойчивой к изменениям продукта. Как это выглядит на практике, покажем на примере одного из наших сервисов в будущих публикациях. Stay tuned! 😉 #эксперты #DPO VK Security | Буст этому каналу
0
10
Технологии безопасности Big Tech #8 ➡️ В 2024 году в одном из публичных репозиториев VK обнаружили уязвимость в GitHub Workfl
Технологии безопасности Big Tech #8 ➡️ В 2024 году в одном из публичных репозиториев VK обнаружили уязвимость в GitHub Workflow: триггер pull_request запускал CI/CD-сценарий с правами и секретами базовой ветки, что позволяло внешнему исследователю получить привилегированный доступ — от слива секретов до подмены артефактов. Оперативная митигация проблему решила, но стало ясно: точечные правки не работают, нужен системный подход. Как именно команда ИБ провела аудит 57+ экшенов, категоризировала векторы атак, разработала харденинг, автоматизировала мониторинг и в итоге создала собственный сервис MGSA — в нашем новом видео рассказывает Владислав Верусь, старший инженер по безопасности инфраструктуры соцсетей VK. 🍿 Ссылка на видео А как в вашей компании организован аудит безопасности GitHub-репозиториев? VK Security | Буст этому каналу #эксперты #проект #mgsa
0
11
Как ускорить работу ИБ-команды и не утонуть в рутине 🪲 Большая часть работы ИБ — это не «охота за хакерами», а операционка:
Как ускорить работу ИБ-команды и не утонуть в рутине 🪲 Большая часть работы ИБ — это не «охота за хакерами», а операционка: разбор задач, ревью кода, проверка релизов. Она тоже важна, но отнимает время у того, что действительно требует экспертизы специалиста. ИБ-команда RuStore сделала ставку на AI-автоматизацию, чтобы разгрузить команду и ускорить процессы. И не прогадала. Что внедрили: 🔹сервис для первичного ревью Security Check-задач 🔹AI Code Review для поиска типовых уязвимостей 🔹AI DAST — мультиагентную систему динамического тестирования Как это всё встраивали в процессы, какие ограничения встретили и какие результаты получили, рассказали на Хабре. 🔗 Читать #RuStore_Habr
0
12
Всем привет👋 Делимся отличным кейсом по AI-автоматизации от коллег из команды RuStore ⬇️⬇️⬇️
0
13
Добрый день, %bughunter_name% Благодарим вас за отчёт и вклад в безопасность VK 🔹 Основываясь на уровне угрозы и таблице воз+4
Добрый день, %bughunter_name% Благодарим вас за отчёт и вклад в безопасность VK 🔹 Основываясь на уровне угрозы и таблице вознаграждений в Q1 мы назначили выплаты в размере 40 000 000+ рублей. Эта сумма получилась так: 🔹 отчёты в количестве более 200 уязвимостей, а также действующий накопительный бонус VK Bounty Pass до 5% за каждый отчет. Ваш % Bounty Pass: информация доступна в личном кабинете по адресу: https://bugbounty.vk.company.ru С уважением, VK 💙 VK Security | Буст этому каналу! #bugbounty #bountypass
0