现已上线!2025 年 Telegram 研究 — 年度关键洞察 
InfoSec VK Hub
前往频道在 Telegram
Новости, митапы и вакансии от команды информационной безопасности VK и, конечно, программа Bug Bounty.
显示更多3 086
订阅者
-124 小时
+57 天
+930 天
数据加载中...
吸引订阅者
六月 '26
六月 '26
+15
在1个频道中
五月 '26
+30
在3个频道中
Get PRO
四月 '26
+45
在0个频道中
Get PRO
三月 '26
+132
在5个频道中
Get PRO
二月 '26
+127
在7个频道中
Get PRO
一月 '26
+392
在1个频道中
Get PRO
十二月 '25
+46
在2个频道中
Get PRO
十一月 '25
+47
在1个频道中
Get PRO
十月 '25
+45
在3个频道中
Get PRO
九月 '25
+94
在3个频道中
Get PRO
八月 '25
+60
在3个频道中
Get PRO
七月 '25
+97
在9个频道中
Get PRO
六月 '25
+115
在5个频道中
Get PRO
五月 '25
+32
在3个频道中
Get PRO
四月 '25
+105
在2个频道中
Get PRO
三月 '25
+100
在16个频道中
Get PRO
二月 '25
+149
在9个频道中
Get PRO
一月 '25
+167
在2个频道中
Get PRO
十二月 '24
+1 445
在61个频道中
Get PRO
十一月 '24
+155
在13个频道中
Get PRO
十月 '24
+559
在14个频道中
| 日期 | 订阅者增长 | 提及 | 频道 | |
| 10 六月 | +1 | |||
| 09 六月 | 0 | |||
| 08 六月 | +2 | |||
| 07 六月 | +2 | |||
| 06 六月 | +1 | |||
| 05 六月 | +2 | |||
| 04 六月 | +4 | |||
| 03 六月 | 0 | |||
| 02 六月 | 0 | |||
| 01 六月 | +3 |
频道帖子
Привет 👋 На связи Никита Галимов, руководитель команды безопасности Технического департамента VK.
🔹 Сейчас у нас открыта роль Архитектора информационной безопасности — человека, который умеет смотреть на систему целиком: от бизнес-рисков и модели угроз до DevOps-пайплайнов, сетевых политик, легаси и целевой архитектуры. Нужно разбираться в инфраструктуре «руками» — CI/CD, подписи артефактов, Kubernetes, сетевых логах — и уметь объяснять решения разработке, CTO и продукту на языке сроков, устойчивости и стоимости риска.
О задачах рассказываю ниже, смотрите и откликайтесь на сайте.
🔹 Больше вакансий от моих коллег:
🔹AppSec
AppSec-инженер
AppSec-инженер в MAX
AppSec-инженер в VK ID
🔹InfraSec:
Эксперт по инфраструктурной безопасности
Технический менеджер в MAX
🔹AI Security
Специалист по безопасности Gen AI
🔹SOC
Аналитик Threat Intelligence в MAX
Аналитик SOC (L2) в MAX
🔹Antifraud
Аналитик антифрода (L2) в MAX
Аналитик антифрода (L3) в MAX
🔹 Контакт для связи: @nstslis
VK Security | Буст этому каналу!
#вакансии
| 2 |  Ого, что?! Вышел первый выпуск нашего подкаста «Спасибо за репорт» 🎧
Это проект VK Bug Bounty для багхантеров, а также для всех, кто формирует индустрию. Поговорим с топ-хантерами, командами bug bounty-платформ, вендорами и теми, кому не всё равно, как развивается поиск уязвимостей.
Гость первого выпуска — Всеволод Кокорин aka Slonser.
Разбираемся с ИИ-агентами в багхантинге без восторженных «они всё заменят» и без паники. Что уже работает, что лучше перепроверять три раза и почему хороший результат не получить без реальных знаний. Всеволод как раз из тех, кто разбирается в этом по-настоящему. Он эффективно применяет ИИ-агентов в реальных задачах и точно знает, где они ускоряют работу, а где им не стоит доверять.
В выпуске:
– как ИИ-агенты меняют поиск уязвимостей?
– какие задачи можно отдавать агентам, а какие лучше оставить себе?
– где агенты начинают галлюцинировать вместо того, чтобы искать баги?
– от чего зависят аватарки Slonser'а?
🍿 Первый выпуск
Ставьте лайк, шерьте друзьям, репостите в чатики — будет полезно всем, кто хочет использовать агентов точнее и получать на выходе качественные репорты.
Пишите в комментариях: как вам запуск, кого позвать дальше и какие темы разобрать👇👇👇
VK Security | Буст этому каналу!
#bugbounty #подкаст | 2 662 |
| 3 |  🤖 Багхантинг + ИИ — это уже наша реальность
Нейросети помогают автоматизировать рутину, ускоряют анализ, позволяют быстрее разбирать большие объёмы данных и искать нестандартные векторы.
Мы сами видим много кейсов, где ИИ реально помогает хантерам усиливать свой подход.
🔹 Но есть и обратная сторона. За последние месяцы мы столкнулись с резким ростом количества сгенерированных отчётов. Речь не про единичные случаи, а буквально про десятки подобных репортов каждую неделю.
Чаще всего это выглядит так:
▫️ агент генерирует набор «уязвимостей» по шаблону;
▫️ хантер не проверяет выводы вручную;
▫️ отчёт улетает в программу без PoC, без подтверждения импакта и без понимания, существует ли проблема вообще.
Иногда это доходит до абсурда. Например:
▫️репорт с критической уязвимостью, где вместо развернутого отчета — скрины переписки с Deepseek и ссылка на чат, чтобы мы спросили, как уязвимость была найдена;
▫️пачки одинаковых репортов, которые выглядят страшно только на словах, но не приводят ни к какой атаке;
▫️«информативные» и невалидные отчеты, которые ИИ сам же не признаёт уязвимостями после простого уточняющего вопроса.
Большой поток нейрослопа влияет на всю экосистему багбаунти:
🔹растёт время обработки отчётов;
🔹увеличивается бэклог;
🔹триаж тратит ресурсы на откровенный шум;
🔹 замедляются ответы даже на хорошие и критические находки.
Есть и менее очевидная проблема — замыливается восприятие.
Когда подряд смотришь десятки сгенерированных репортов без доказательств, к следующему отчёту автоматически появляется скепсис, даже если он валидный.
Некоторые зарубежные программы и платформы уже начали вводить ограничения:
🔹 требования по репутации и signal score;
🔹 ограничения на отправку отчётов;
🔹 механики платной отправки High/Critical-репортов с возвратом средств за валидные находки;
🔹 внутренние AI-фильтры и автоматический триаж.
🔹 Мы тоже начали адаптировать процессы под новую реальность.
За последний квартал мы обновили внутренние правила и усилили проверку подобных отчётов. В том числе протестировали механику промпт-инъекций против AI-агентов и вайбхантинга.
🔹 Опытные хантеры уже используют ИИ как инструмент для автоматизации рутины, для обработки больших объёмов данных, для ускорения хантинга, для генерации гипотез и поиска нестандартных цепочек. Проблема начинается тогда, когда AI полностью заменяет понимание атаки и ручную проверку — без понимания угрозы и знания уязвимостей не получится их находить даже с помощью ИИ. Некоторые слишком сильно доверяют этому и могут столкнуться с неприятными последствиями.
Если уязвимость нельзя воспроизвести, объяснить и показать её влияние на безопасность — это невалидный отчёт. Даже если он красиво оформлен и наполнен красивыми и сложными терминами, которые сгенерировала нейросеть. Если AI-агент «нашёл», что на ресурсе есть компонент с уязвимой версией, что может привести к critical devtools xss injection, и вы это сдали — это тоже будет невалидным отчётом.
Поэтому, если пользуетесь ИИ-агентами для поиска уязвимостей, перед отправкой репорта стоит задать простой вопрос: «Примут ли эту уязвимость в bug bounty?». Очень часто после этого вопроса агент сам отвечает: «Ты абсолютно прав, это не примут в bug bounty» 🔹
И, кстати, если вы пропустили — доклад Петра Уварова с митапа о том, почему не стоит слепо доверять ИИ и как триажеры разбирают потоки сгенерированных отчётов:
👉 Смотреть презентацию
P.S. Следите за новостями канала! Совсем скоро стартуем с новым крутым проектом. Совсем скоро стартуем с новым проектом, в котором будем говорить о реальном опыте багхантеров. И, конечно, тема ИИ не останется без внимания!
VK Security | Буст этому каналу!
#bugbounty | 1 312 |
| 4 |  Сегодня — о том, где на практике ломается привычное представление о защите данных в продуктовых компаниях. А именно: что происходит, когда требования закона сталкиваются с реальной архитектурой продукта.
На уровне формулировок всё выглядит довольно просто: данные нужно хранить безопасно, ограничивать доступ, удалять по запросу, не передавать без оснований. Но как только это нужно реализовать в живой системе, появляется совсем другой уровень сложности. Потому что «персональные данные» внутри продукта — это не одна сущность. Это несколько хранилищ, аналитические витрины, антифрод-системы, интеграции с внешними сервисами, множество ролей и доступов. Требования понятны, а вот их реализация — это уже инженерная задача.
🔹 Типовой кейс
Пользователь запрашивает удаление своих данных.
Снаружи процесс выглядит линейно:
запрос → обработка → удаление → ответ.
Внутри всё значительно сложнее. К этому моменту данные уже могут:
• разъехаться по разным сервисам;
• использоваться в аналитике;
• участвовать в антифроде;
• лежать в резервных копиях;
• быть переданными третьим сторонам.
Если удалить всё без разбора — есть риск сломать продукт. Не удалить — нарушение требований законодательства.
Как это решается на практике? Сначала нужно понять:
• где обрабатываются данные;
• как устроены процессы передачи и потоков данных;
• как данные переиспользуются и обогащаются в процессах;
• как организован процесс работы с данными, кто и как к ним имеет доступ.
Дальше появляются инженерные решения:
• где необходимо удаление;
• где можно применить обезличивание;
• где — ограничение доступа через роли и IDM;
• где нужно изменить процессы обработки данных.
И всё это — баланс между законом, архитектурой и бизнесом.
🔹 За рамками compliance
На рынке часто функцию защиты данных закрывают через юридическую экспертизу.
Это логично: регуляторика сложная, требования и штрафы растут, коммуникация с регуляторами критична.
Но без технического слоя остаются слепые зоны, которые часто игнорируются при удалении:
• реальные механики хранения данных и доступа к ним,
• временные и файловые хранилища,
• аналитические данные,
• логи и технические журналы,
• локальные доступы,
• методы обезличивания,
• движение данных между сервисами и третьими лицами,
• каналы передачи данных,
• поведение бэкапов,
• процессы восстановления данных,
• фактическое состояние данных после «удаления»,
• идентификаторы или совокупность/связка данных, по которым можно восстановить данные,
• копии данных.
🔹 А как у нас?
Традиционный подход — когда за защиту данных отвечают юристы, а инженеры «исполняют требования» — неизбежно приводит к разрыву между документацией и реальностью.
Мы в VK выстраиваем защиту данных иначе: она изначально встроена в архитектуру и процессы разработки. Требования закона не появляются неожиданно на этапе релиза — они учитываются заранее, на этапе проектирования системы. Без встроенных инструментов даже прописанные политики и регламенты остаются просто бумагой. В VK реализованы инструменты для категорирования и маркировки данных, аудита доступов, ведения спецификаций, реестров и потоков данных, обезличивания и безопасной обработки данных при использовании AI. Это позволяет не просто «соблюдать законы», а сделать защиту данных прозрачной, измеримой и устойчивой к изменениям продукта.
Как это выглядит на практике, покажем на примере одного из наших сервисов в будущих публикациях.
Stay tuned! 😉
#эксперты #DPO
VK Security | Буст этому каналу | 0 |
| 5 |  Технологии безопасности Big Tech #8
➡️ В 2024 году в одном из публичных репозиториев VK обнаружили уязвимость в GitHub Workflow: триггер pull_request запускал CI/CD-сценарий с правами и секретами базовой ветки, что позволяло внешнему исследователю получить привилегированный доступ — от слива секретов до подмены артефактов.
Оперативная митигация проблему решила, но стало ясно: точечные правки не работают, нужен системный подход.
Как именно команда ИБ провела аудит 57+ экшенов, категоризировала векторы атак, разработала харденинг, автоматизировала мониторинг и в итоге создала собственный сервис MGSA — в нашем новом видео рассказывает Владислав Верусь, старший инженер по безопасности инфраструктуры соцсетей VK.
🍿 Ссылка на видео
А как в вашей компании организован аудит безопасности GitHub-репозиториев?
VK Security | Буст этому каналу
#эксперты #проект #mgsa | 0 |
| 6 | Как ускорить работу ИБ-команды и не утонуть в рутине 🪲
Большая часть работы ИБ — это не «охота за хакерами», а операционка: разбор задач, ревью кода, проверка релизов. Она тоже важна, но отнимает время у того, что действительно требует экспертизы специалиста.
ИБ-команда RuStore сделала ставку на AI-автоматизацию, чтобы разгрузить команду и ускорить процессы. И не прогадала.
Что внедрили:
🔹сервис для первичного ревью Security Check-задач
🔹AI Code Review для поиска типовых уязвимостей
🔹AI DAST — мультиагентную систему динамического тестирования
Как это всё встраивали в процессы, какие ограничения встретили и какие результаты получили, рассказали на Хабре.
🔗 Читать
#RuStore_Habr | 0 |
| 7 | Всем привет👋
Делимся отличным кейсом по AI-автоматизации от коллег из команды RuStore ⬇️⬇️⬇️ | 0 |
| 8 |  +4Добрый день, %bughunter_name%
Благодарим вас за отчёт и вклад в безопасность VK 🔹
Основываясь на уровне угрозы и таблице вознаграждений в Q1 мы назначили выплаты в размере 40 000 000+ рублей.
Эта сумма получилась так:
🔹 отчёты в количестве более 200 уязвимостей, а также действующий накопительный бонус VK Bounty Pass до 5% за каждый отчет.
Ваш % Bounty Pass: информация доступна в личном кабинете по адресу:
https://bugbounty.vk.company.ru
С уважением, VK 💙
VK Security | Буст этому каналу!
#bugbounty #bountypass | 0 |
| 9 |  +2В новом посте Тимур Лутфуллин, руководитель дежурных смен L1 в SOC, расскажет о том, как его команда перестала тонуть в потоке алертов. Десятки инцидентов в час, работа в разных системах, долгие расследования и лишние коммуникации — с этими вызовами знаком каждый, кто работает в дежурной смене. В материале — опыт внедрения ML в процессы, который изменил подход к обработке инцидентов и освободил время аналитиков.
🔹Наша команда работает 24/7, и нагрузка постоянно растёт: в пиковые периоды поток алертов идёт почти непрерывно, среднее число — десятки в час.
Главные болевые точки были типичными:
аналитик тратит время на переключение между разными системами: логи, доступы, обогащение,
процесс расследования не стандартизирован, сложные кейсы затягиваются.
Взаимодействие со смежными командами, например, антифродом, требует лишних коммуникаций;
пользовательские подтверждения действий — боты-опросники — создают дополнительный шум.
🔹Чтобы решить эти проблемы, мы сделали ставку на SOAR-систему, которая позволила аналитику работать в едином окне. К нам приходят алерты, сразу обогащаются, и из этого же интерфейса можно проводить реагирование.
🔹Никаких копирований и поиска по разным вкладкам: вся информация о хосте, возможность проверить хэш, связаться с сотрудником в мессенджере или создать задачу в системе тикетинга — всё в одной карточке.
🔹Для ускорения расследования мы добавили встроенные плейбуки и подсказки от внутренней LLM. Нейросеть прямо в карточке алерта даёт описание события на понятном языке и предлагает вердикт. Так аналитик быстрее понимает контекст, особенно в сложных или объёмных срабатываниях.
🔹Следующий шаг — обучение ML-модели на наших данных. Мы отдаём ей все алерты, чтобы она обогащала новые срабатывания информацией из внутренних систем —должность сотрудника, история аналогичных событий — и помогала с предварительным вердиктом. Модель уже используется в нашем боте для подтверждения команд: если пользователь ранее запускал безопасные команды на хосте, ML это запомнит и больше не будет задавать вопросов, сокращая лишние взаимодействия.
🔹Отдельно автоматизировали взаимодействие с антифродом. Раньше приходилось вручную оформлять алерты и ждать ответа. Теперь из SOAR алерт автоматически уходит в общий чат с кнопками «True Positive» / «False Positive», коллеги ставят вердикт, и он возвращается обратно в SOAR — всё закрывается без лишних движений.
🔹Что это дало:
🔹Время жизни алерта — от прихода до полного расследования — сократилось и вышло на стабильные показатели даже при пиковых нагрузках.
🔹Аналитик работает в едином окне, не отвлекаясь на смежные системы.
🔹Реагирование стало унифицированным. Многие действия: блокировка хоста, антивирусная проверка, создание инцидента — выполняются прямо из карточки алерта по нажатию кнопки.
🔹Cнизилось количество ложных срабатываний и ручных подтверждений.
🔹Взаимодействие со смежными подразделениями переведено в автоматический режим — время согласования сократилось с часов до минут.
Конечно, автоматизация не делается раз и навсегда. Мы постоянно дорабатываем правила, обучаем модели и расширяем возможности SOAR. Но полученный результат — наглядный пример того, как грамотное внедрение инструментов и пересмотр процессов помогает команде справляться с растущим потоком событий без потери качества.
#SOC #эксперты #разбор
VK Security | Буст этому каналу! | 0 |
| 10 |  +9Пошумели на VK Security Confab: BB edition 🤟
Вчера было так: приходишь на митап, а вокруг — свои. Кто-то давно знаком, кто-то наконец встретился лично после долгого общения в чатиках, а кто-то только познакомился — но сразу нашёл общие темы для разговоров.
О чем говорили:
🔹Петр Уваров открыл митап докладом о том, почему не стоит слепо доверять ИИ и как триажеры разбирают потоки сгенерированных отчетов. Добавил живых примеров и даже мемчиков для наглядности.
🔹Заур Заубаев выступил с историей создания HackAdvisor — платформы, созданной хакером для хакеров, которая помогает обеим сторонам и борется за справедливость.
🔹Павел Никитин поделился инсайтами, как системно смотреть на большой технологический продукт и не бояться искать там уязвимости.
🔹Завершал митап Всеволод Кокорин — продолжил тему ИИ, рассказал, как AI стал незаменимым помощником в хантинге, поделился своим успешным опытом и забрал победу в голосовании за лучший доклад.
📎 Презентации спикеров
Мы получили больше 400 заявок на участие! В этот раз зал еле-еле вместил всех, кто пришёл. Вызов принят: в следующий раз будем искать площадку побольше 🙌
Спасибо, что пришли и сделали этот вечер таким невероятным! Было очень круто🔹
Расскажите, а вам как?👇 | 0 |
| 11 |  +4Продолжаем разговор об инструментах Security Gate. Если SG Malware Protector защищает нас от уже попавших в экосистему вредоносов, то второй сервис — SG Fast Scanner — создан для быстрого сканирования Merge Request’ов, чтобы не допустить появления новых проблем.
🔹Ранее существовала следующая проблема: разработчик вливает merge request, содержащий, например, уязвимую зависимость. Мы узнаём об этом уже после того, как код попал в основную ветку, и начинается долгий цикл исправления — выпуск патча, новый MR. Схема работала, но создавала временной лаг и требовала эскалаций.
🔹В настоящее время процесс выглядит иначе: инструмент SG Fast Scanner анализирует изменения в коде непосредственно в момент создания merge request. Он выявляет открытые секреты, уязвимые зависимости и различные проблемы через SAST, после чего автоматически оставляет в MR комментарий с предупреждением. Разработчик может исправить проблему сразу, не покидая интерфейс, благодаря чему в основную ветку попадает только безопасный код.
🔹Визуально это выглядит следующим образом: в интерфейсе GitLab появляется комментарий с перечнем обнаруженных проблем — будь то SAST-предупреждения, секреты или уязвимые библиотеки. Интеграция выполняется через настройки интерфейса, без необходимости открывать консоль. Можно даже настроить блокировку вливания небезопасных MR.
Что мы получили в итоге?
🔹Уязвимости находят и устраняют до попадания в основную ветку.
🔹Разработчики видят проблемы в своём коде сразу.
🔹Среднее время сканирования MR — чуть больше 21 секунды.
🔹Подключение занимает до 10 минут целыми группами.
🔹Реализован сбор новых зависимостей в единую систему инвентаризации для оперативного реагирования на критические уязвимости
🔹Постоянное улучшение UX на основе обратной связи.
А планы у нас ещё амбициознее:
▫️интеграция с Security Gate для просмотра сработок прямо в интерфейсе;
▫️плагин для IDE на основе того же API;
▫️автофикс некоторых проблем с помощью LLM;
▫️подключение всех репозиториев GitLab через глобальные хуки, что исключает необходимость настройки для каждого проекта в отдельности.
📱Нам удалось решить проблему каскадных обновлений уязвимых зависимостей. Ранее нередко возникала ситуация, когда рекомендуемая для исправления версия сама содержала новые уязвимости. Из-за этого приходилось проходить повторный цикл обновлений — и так до тех пор, пока не находилась действительно безопасная версия.
Теперь Security Gate работает иначе. Инструмент собирает информацию обо всех известных уязвимостях и обо всех доступных версиях зависимости. На основе этих данных формируется конечный перечень безопасных версий, не имеющих уязвимостей.
VK Security | Буст этому каналу!
#технологии #appsec
#devsecops #VKSecurityGate | 0 |
| 12 | 🎉 Результаты розыгрыша:
🏆 Победители:
1. katok (@katok)
2. 🐯 (@seller_air)
3. Илья (@mihailovily)
4. RS (@ReliableSecurity)
5. (@chalkbutter)
6. 𝙫𝙖𝙣𝙚𝙨𝙝𝙞𝙠 (@vaneshik)
7. Jura S. (@devstout)
8. Constantine 🎲 (@DETROITP7AY3R5)
9. ia
10. Ekelen (@Ekelen)
✔️Проверить результаты | 0 |
| 13 |  Привет! 👋
Март постепенно входит в свои права, радуя солнцем и тающим снегом, а багхантеры радуются приближению нашего первого в этом году митапа — VK Security Confab: Bug Bounty edition!
🔹 Уже в этот четверг встречаемся в московском офисе VK!
Обратите внимание, если вы не нашли подтверждение регистрации во «Входящих», оно могло попасть в «Спам».
Регистрация закроется сегодня в 15:00.
👉 Зарегистрироваться
P.S. Не переключайтесь: сегодня в 12:00 опубликуем имена тех, кто выиграл экскурсию по офису. Если увидите себя в списке — ждите сообщения от нас в личке 😉 | 0 |
