InfoSec VK Hub
前往频道在 Telegram
Новости, митапы и вакансии от команды информационной безопасности VK и, конечно, программа Bug Bounty.
显示更多3 064
订阅者
无数据24 小时
+37 天
-2130 天
数据加载中...
吸引订阅者
七月 '26
七月 '26
+4
在0个频道中
六月 '26
+42
在3个频道中
Get PRO
五月 '26
+30
在3个频道中
Get PRO
四月 '26
+45
在0个频道中
Get PRO
三月 '26
+132
在5个频道中
Get PRO
二月 '26
+127
在7个频道中
Get PRO
一月 '26
+392
在1个频道中
Get PRO
十二月 '25
+46
在2个频道中
Get PRO
十一月 '25
+47
在1个频道中
Get PRO
十月 '25
+45
在3个频道中
Get PRO
九月 '25
+94
在3个频道中
Get PRO
八月 '25
+60
在3个频道中
Get PRO
七月 '25
+97
在9个频道中
Get PRO
六月 '25
+115
在5个频道中
Get PRO
五月 '25
+32
在3个频道中
Get PRO
四月 '25
+105
在2个频道中
Get PRO
三月 '25
+100
在16个频道中
Get PRO
二月 '25
+149
在9个频道中
Get PRO
一月 '25
+167
在2个频道中
Get PRO
十二月 '24
+1 445
在61个频道中
Get PRO
十一月 '24
+155
在13个频道中
Get PRO
十月 '24
+559
在14个频道中
| 日期 | 订阅者增长 | 提及 | 频道 | |
| 01 七月 | +4 |
频道帖子
🚀 И сразу к новым выпускам подкаста «Спасибо за репорт»
В одном из следующих эпизодов меняем привычный формат: отвечать на вопросы будут не багхантеры, а представители багбаунти-программ.
💬 Поэтому мы открываем сбор вопросов. Для этого сделали отдельного бота — отправляйте всё, что давно хотели спросить.
Например:
• про триаж и выплаты;
• про внутренние процессы;
• про назначение выплат;
• и любые другие темы, которые вам интересны.
🔹 Неважно, давно ли вы в багбаунти или только начинаете разбираться в теме. Если у вас появился вопрос, скорее всего, он волнует и многих других. Поэтому не стесняйтесь — задавайте даже самые простые и базовые вопросы.
И да, не ограничивайтесь одним: присылайте столько вопросов, сколько захотите. Мы выберем самые интересные и обсудим их вместе с вендорами в новом выпуске.
🔹 Задать вопрос👇
#bugbounty #подкаст
| 2 | 📹 Второй выпуск «Спасибо за репорт» уже доступен!
Разбираемся, как появился HackAdvisor и что на самом деле стоит за отзывами о программах: месяцы, а иногда и годы работы багхантеров.
В первом выпуске вместе со Slonser мы обсуждали, как ИИ-агенты меняют багхантинг. Теперь — о том, как знания и опыт комьюнити помогают делать Bug Bounty лучше для всех участников.
Наш гость — Заур Заурбаев (k3ypt0), создатель HackAdvisor.
В выпуске обсудили:
⚡️ как появилась платформа HackAdvisor и какие задачи она помогает решать багхантерам;
⚡️ почему отзывы о программах — это не просто комментарии, а важная часть развития Bug Bounty;
⚡️ как устроена платформа: отзывы, динамика изменений программ, Labs и другие возможности;
⚡️ почему прозрачность полезна не только исследователям, но и самим программам;
⚡️ как комьюнити помогает развивать HackAdvisor и почему многие новые функции появляются благодаря предложениям хантеров.
Получился искренний разговор о том, что Bug Bounty — это не только про поиск уязвимостей, но и про людей, которые помогают друг другу делать индустрию лучше.
🍿 Смотреть
А что для вас важнее всего при выборе программы: размер выплат, интересный скоуп, скорость триажа или опыт других хантеров? Делитесь в комментариях 👇
#bugbounty #подкаст | 1 442 |
| 3 | 🎙 Почему одни Bug Bounty-программы хочется рекомендовать, а другие — обходить стороной?
Поговорим об этом завтра — в новом выпуске подкаста «Спасибо за репорт».
В гостях — Заур Заурбаев, создатель HackAdvisor.
Обсудим, как опыт сообщества помогает выбирать программы, зачем нужны отзывы и почему прозрачность важна для всей индустрии.
Ставьте 👍, если ждёте новый выпуск!
VK Security | Буст этому каналу
#bugbounty #подкаст@vk_security | 1 557 |
| 4 | Один из самых обсуждаемых ИБ-терминов последних месяцев — vibeware.
Недавно у наших коллег @aihubvk вышел материал про использование LLM для автоматизации создания и модификации вредоносного ПО.
Мы попросили нашего эксперта Павла Литикова поделиться взглядом на то, насколько этот тренд действительно меняет ландшафт угроз и что это означает для команд ИБ.
Основные тезисы — в карточках.
За последний год мы довольно много рассказывали о практическом применении AI и ML в задачах безопасности — от SOC и AppSec до защиты самих моделей ⬇️⬇️⬇️
🔹 как LLM и ML помогают аналитикам SOC справляться с потоком алертов;
🔹как мы используем VK LLM в DevSecOps для автоматизации поиска и анализа секретов;
🔹 как мы автоматизировали создание Nuclei-шаблонов по отчётам об уязвимостях;
🔹 как выстраивается безопасность AI-платформ и защищаются модели на всех этапах жизненного цикла.
VK Security | Буст этому каналу
#AISecurity #мнение #эксперт | 1 084 |
| 5 | Как закрывать риски внедрения вредоносного ПО ещё до продакшена?
17 июня на VK Cloud Conf 2026 Игорь Игнатьев, руководитель направления защиты приложений VK, выступит с докладом: «Доверенная среда разработки: как обеспечить чистоту кода и закрыть риски внедрения вредоносного ПО».
Тема особенно актуальна сейчас: атаки на цепочку поставки кода становятся всё привычнее. Вредоносные зависимости, скомпрометированные образы, уязвимости в сторонних компонентах — всё это уже не редкие исключения, а реальные риски для разработки.
VK Security Gate — это единый контур контроля, который закрывает эти риски от момента сборки до хранения образа в Registry.
Игорь расскажет, как выстроить доверенную среду разработки на российском стеке в инфраструктуре VK Cloud:
🔹что можно проверять автоматически;
🔹где выставлять блокировки;
🔹как встроить контроль в CI/CD;
🔹 как закрывать риски без потери скорости разработки.
🔹 17 июня, 12:50–13:10
Доклад: «Доверенная среда разработки: как обеспечить чистоту кода и закрыть риски внедрения вредоносного ПО»
🔹 Подробности и регистрация — на сайте конференции.
#VKSecurityGate #эксперты
VK Security | Буст этому каналу! | 1 284 |
| 6 | Привет 👋 На связи Никита Галимов, руководитель команды безопасности Технического департамента VK.
🔹 Сейчас у нас открыта роль Архитектора информационной безопасности — человека, который умеет смотреть на систему целиком: от бизнес-рисков и модели угроз до DevOps-пайплайнов, сетевых политик, легаси и целевой архитектуры. Нужно разбираться в инфраструктуре «руками» — CI/CD, подписи артефактов, Kubernetes, сетевых логах — и уметь объяснять решения разработке, CTO и продукту на языке сроков, устойчивости и стоимости риска.
О задачах рассказываю ниже, смотрите и откликайтесь на сайте.
🔹 Больше вакансий от моих коллег:
🔹AppSec
AppSec-инженер
AppSec-инженер в MAX
AppSec-инженер в VK ID
🔹InfraSec:
Эксперт по инфраструктурной безопасности
Технический менеджер в MAX
🔹AI Security
Специалист по безопасности Gen AI
🔹SOC
Аналитик Threat Intelligence в MAX
Аналитик SOC (L2) в MAX
🔹Antifraud
Аналитик антифрода (L2) в MAX
Аналитик антифрода (L3) в MAX
🔹 Контакт для связи: @nstslis
VK Security | Буст этому каналу!
#вакансии | 1 596 |
| 7 | Ого, что?! Вышел первый выпуск нашего подкаста «Спасибо за репорт» 🎧
Это проект VK Bug Bounty для багхантеров, а также для всех, кто формирует индустрию. Поговорим с топ-хантерами, командами bug bounty-платформ, вендорами и теми, кому не всё равно, как развивается поиск уязвимостей.
Гость первого выпуска — Всеволод Кокорин aka Slonser.
Разбираемся с ИИ-агентами в багхантинге без восторженных «они всё заменят» и без паники. Что уже работает, что лучше перепроверять три раза и почему хороший результат не получить без реальных знаний. Всеволод как раз из тех, кто разбирается в этом по-настоящему. Он эффективно применяет ИИ-агентов в реальных задачах и точно знает, где они ускоряют работу, а где им не стоит доверять.
В выпуске:
– как ИИ-агенты меняют поиск уязвимостей?
– какие задачи можно отдавать агентам, а какие лучше оставить себе?
– где агенты начинают галлюцинировать вместо того, чтобы искать баги?
– от чего зависят аватарки Slonser'а?
🍿 Первый выпуск
Ставьте лайк, шерьте друзьям, репостите в чатики — будет полезно всем, кто хочет использовать агентов точнее и получать на выходе качественные репорты.
Пишите в комментариях: как вам запуск, кого позвать дальше и какие темы разобрать👇👇👇
VK Security | Буст этому каналу!
#bugbounty #подкаст | 3 265 |
| 8 | 🤖 Багхантинг + ИИ — это уже наша реальность
Нейросети помогают автоматизировать рутину, ускоряют анализ, позволяют быстрее разбирать большие объёмы данных и искать нестандартные векторы.
Мы сами видим много кейсов, где ИИ реально помогает хантерам усиливать свой подход.
🔹 Но есть и обратная сторона. За последние месяцы мы столкнулись с резким ростом количества сгенерированных отчётов. Речь не про единичные случаи, а буквально про десятки подобных репортов каждую неделю.
Чаще всего это выглядит так:
▫️ агент генерирует набор «уязвимостей» по шаблону;
▫️ хантер не проверяет выводы вручную;
▫️ отчёт улетает в программу без PoC, без подтверждения импакта и без понимания, существует ли проблема вообще.
Иногда это доходит до абсурда. Например:
▫️репорт с критической уязвимостью, где вместо развернутого отчета — скрины переписки с Deepseek и ссылка на чат, чтобы мы спросили, как уязвимость была найдена;
▫️пачки одинаковых репортов, которые выглядят страшно только на словах, но не приводят ни к какой атаке;
▫️«информативные» и невалидные отчеты, которые ИИ сам же не признаёт уязвимостями после простого уточняющего вопроса.
Большой поток нейрослопа влияет на всю экосистему багбаунти:
🔹растёт время обработки отчётов;
🔹увеличивается бэклог;
🔹триаж тратит ресурсы на откровенный шум;
🔹 замедляются ответы даже на хорошие и критические находки.
Есть и менее очевидная проблема — замыливается восприятие.
Когда подряд смотришь десятки сгенерированных репортов без доказательств, к следующему отчёту автоматически появляется скепсис, даже если он валидный.
Некоторые зарубежные программы и платформы уже начали вводить ограничения:
🔹 требования по репутации и signal score;
🔹 ограничения на отправку отчётов;
🔹 механики платной отправки High/Critical-репортов с возвратом средств за валидные находки;
🔹 внутренние AI-фильтры и автоматический триаж.
🔹 Мы тоже начали адаптировать процессы под новую реальность.
За последний квартал мы обновили внутренние правила и усилили проверку подобных отчётов. В том числе протестировали механику промпт-инъекций против AI-агентов и вайбхантинга.
🔹 Опытные хантеры уже используют ИИ как инструмент для автоматизации рутины, для обработки больших объёмов данных, для ускорения хантинга, для генерации гипотез и поиска нестандартных цепочек. Проблема начинается тогда, когда AI полностью заменяет понимание атаки и ручную проверку — без понимания угрозы и знания уязвимостей не получится их находить даже с помощью ИИ. Некоторые слишком сильно доверяют этому и могут столкнуться с неприятными последствиями.
Если уязвимость нельзя воспроизвести, объяснить и показать её влияние на безопасность — это невалидный отчёт. Даже если он красиво оформлен и наполнен красивыми и сложными терминами, которые сгенерировала нейросеть. Если AI-агент «нашёл», что на ресурсе есть компонент с уязвимой версией, что может привести к critical devtools xss injection, и вы это сдали — это тоже будет невалидным отчётом.
Поэтому, если пользуетесь ИИ-агентами для поиска уязвимостей, перед отправкой репорта стоит задать простой вопрос: «Примут ли эту уязвимость в bug bounty?». Очень часто после этого вопроса агент сам отвечает: «Ты абсолютно прав, это не примут в bug bounty» 🔹
И, кстати, если вы пропустили — доклад Петра Уварова с митапа о том, почему не стоит слепо доверять ИИ и как триажеры разбирают потоки сгенерированных отчётов:
👉 Смотреть презентацию
P.S. Следите за новостями канала! Совсем скоро стартуем с новым крутым проектом. Совсем скоро стартуем с новым проектом, в котором будем говорить о реальном опыте багхантеров. И, конечно, тема ИИ не останется без внимания!
VK Security | Буст этому каналу!
#bugbounty | 1 472 |
| 9 | Сегодня — о том, где на практике ломается привычное представление о защите данных в продуктовых компаниях. А именно: что происходит, когда требования закона сталкиваются с реальной архитектурой продукта.
На уровне формулировок всё выглядит довольно просто: данные нужно хранить безопасно, ограничивать доступ, удалять по запросу, не передавать без оснований. Но как только это нужно реализовать в живой системе, появляется совсем другой уровень сложности. Потому что «персональные данные» внутри продукта — это не одна сущность. Это несколько хранилищ, аналитические витрины, антифрод-системы, интеграции с внешними сервисами, множество ролей и доступов. Требования понятны, а вот их реализация — это уже инженерная задача.
🔹 Типовой кейс
Пользователь запрашивает удаление своих данных.
Снаружи процесс выглядит линейно:
запрос → обработка → удаление → ответ.
Внутри всё значительно сложнее. К этому моменту данные уже могут:
• разъехаться по разным сервисам;
• использоваться в аналитике;
• участвовать в антифроде;
• лежать в резервных копиях;
• быть переданными третьим сторонам.
Если удалить всё без разбора — есть риск сломать продукт. Не удалить — нарушение требований законодательства.
Как это решается на практике? Сначала нужно понять:
• где обрабатываются данные;
• как устроены процессы передачи и потоков данных;
• как данные переиспользуются и обогащаются в процессах;
• как организован процесс работы с данными, кто и как к ним имеет доступ.
Дальше появляются инженерные решения:
• где необходимо удаление;
• где можно применить обезличивание;
• где — ограничение доступа через роли и IDM;
• где нужно изменить процессы обработки данных.
И всё это — баланс между законом, архитектурой и бизнесом.
🔹 За рамками compliance
На рынке часто функцию защиты данных закрывают через юридическую экспертизу.
Это логично: регуляторика сложная, требования и штрафы растут, коммуникация с регуляторами критична.
Но без технического слоя остаются слепые зоны, которые часто игнорируются при удалении:
• реальные механики хранения данных и доступа к ним,
• временные и файловые хранилища,
• аналитические данные,
• логи и технические журналы,
• локальные доступы,
• методы обезличивания,
• движение данных между сервисами и третьими лицами,
• каналы передачи данных,
• поведение бэкапов,
• процессы восстановления данных,
• фактическое состояние данных после «удаления»,
• идентификаторы или совокупность/связка данных, по которым можно восстановить данные,
• копии данных.
🔹 А как у нас?
Традиционный подход — когда за защиту данных отвечают юристы, а инженеры «исполняют требования» — неизбежно приводит к разрыву между документацией и реальностью.
Мы в VK выстраиваем защиту данных иначе: она изначально встроена в архитектуру и процессы разработки. Требования закона не появляются неожиданно на этапе релиза — они учитываются заранее, на этапе проектирования системы. Без встроенных инструментов даже прописанные политики и регламенты остаются просто бумагой. В VK реализованы инструменты для категорирования и маркировки данных, аудита доступов, ведения спецификаций, реестров и потоков данных, обезличивания и безопасной обработки данных при использовании AI. Это позволяет не просто «соблюдать законы», а сделать защиту данных прозрачной, измеримой и устойчивой к изменениям продукта.
Как это выглядит на практике, покажем на примере одного из наших сервисов в будущих публикациях.
Stay tuned! 😉
#эксперты #DPO
VK Security | Буст этому каналу | 0 |
| 10 | Технологии безопасности Big Tech #8
➡️ В 2024 году в одном из публичных репозиториев VK обнаружили уязвимость в GitHub Workflow: триггер pull_request запускал CI/CD-сценарий с правами и секретами базовой ветки, что позволяло внешнему исследователю получить привилегированный доступ — от слива секретов до подмены артефактов.
Оперативная митигация проблему решила, но стало ясно: точечные правки не работают, нужен системный подход.
Как именно команда ИБ провела аудит 57+ экшенов, категоризировала векторы атак, разработала харденинг, автоматизировала мониторинг и в итоге создала собственный сервис MGSA — в нашем новом видео рассказывает Владислав Верусь, старший инженер по безопасности инфраструктуры соцсетей VK.
🍿 Ссылка на видео
А как в вашей компании организован аудит безопасности GitHub-репозиториев?
VK Security | Буст этому каналу
#эксперты #проект #mgsa | 0 |
| 11 | Как ускорить работу ИБ-команды и не утонуть в рутине 🪲
Большая часть работы ИБ — это не «охота за хакерами», а операционка: разбор задач, ревью кода, проверка релизов. Она тоже важна, но отнимает время у того, что действительно требует экспертизы специалиста.
ИБ-команда RuStore сделала ставку на AI-автоматизацию, чтобы разгрузить команду и ускорить процессы. И не прогадала.
Что внедрили:
🔹сервис для первичного ревью Security Check-задач
🔹AI Code Review для поиска типовых уязвимостей
🔹AI DAST — мультиагентную систему динамического тестирования
Как это всё встраивали в процессы, какие ограничения встретили и какие результаты получили, рассказали на Хабре.
🔗 Читать
#RuStore_Habr | 0 |
| 12 | Всем привет👋
Делимся отличным кейсом по AI-автоматизации от коллег из команды RuStore ⬇️⬇️⬇️ | 0 |
| 13 | Добрый день, %bughunter_name%
Благодарим вас за отчёт и вклад в безопасность VK 🔹
Основываясь на уровне угрозы и таблице вознаграждений в Q1 мы назначили выплаты в размере 40 000 000+ рублей.
Эта сумма получилась так:
🔹 отчёты в количестве более 200 уязвимостей, а также действующий накопительный бонус VK Bounty Pass до 5% за каждый отчет.
Ваш % Bounty Pass: информация доступна в личном кабинете по адресу:
https://bugbounty.vk.company.ru
С уважением, VK 💙
VK Security | Буст этому каналу!
#bugbounty #bountypass | 0 |
现已上线!2025 年 Telegram 研究 — 年度关键洞察 
