Ищем баги и любовь

Майские уже не за горами, а вы всё ещё не решили, что будете «ломать» на длинных выходных? У нас для вас отличные новости!

Расширили программу VK Bug Bounty и добавили «Сервисы Знакомств VK», туда входят:

👩‍❤️‍👨 VK Знакомства
💙 ОК Знакомства

💸Максимальное вознаграждение — до 1 млн ₽

Перейти к программе и отправить отчет можно:
• Standoff Bug Bounty
• BI.ZONE Bug Bounty
• Bugbounty.ru

VK Security | Буст этому каналу!

#bugbounty #bountypass

🔹Навигация

В канале собралось уже немало полезных материалов — и чтобы вам было проще ориентироваться, мы собрали удобную навигацию:

#эксперты — про доклады, выступления и статьи от наших экспертов

#технологии — о продуктах и собственной разработке

#разбор — про решения реальных кейсов, подходы и выводы

#confab #митап — о главной конференции года VK Security Confab Max и тематических митапах

#вакансии — о том, как попасть в нашу команду или напишите
@lisenkova_a

📌 Тематические направления:
#SOC
#appsec
#devsecops
#bugbounty
#инфраструктура

⚙️ Собственные технологии:
• #VKSecurityGate
• #VKey
• #VKSIEM
• #WARP
• #VKDSPM

Список хэштегов будет обновляться по мере появления новых материалов 🔥

VK Security

Древняя китайская мудрость гласит: ищите хорошие уязвимости, а плохие не ищите

В новом выпуске подкаста «Начинаем в багбаунти» Пётр Уваров, руководитель VK Bug Bounty, и Анатолий Иванов aka c0rv4x, руководитель направления Standoff Bug Bounty рассказывают, как не тратить время на бесполезные баги и фокусироваться на тех, которые приносят реальные деньги.

🔹 Поговорим о самом главном:
🔒 почему одни уязвимости принимают, а другие — отклоняют
🔒что делать, если отчёт не приняли, но ты уверен в баге
🔒разборы реальных отчётов из практики

Смотрите выпуск на

📺VK Видео

📺 YouTube

📺 Rutube

VK Security | Буст этому каналу!

#bugbounty #подкаст

📱 VKey под капотом: как устроена аутентификация в едином SSO?

Пока все возвращаются в рабочий ритм после длинных праздников 🫠, подготовили небольшую разминку для мозгов — продолжение о том, как устроен VKey. Про архитектуру подробно рассказано здесь, здесь и здесь, поэтому настало время поговорить про аутентификацию с mTLS.
⠀
🔹 Разбираем по шагам:

Пользователь жмёт «Быстрый вход» 🔹 появляется запрос «Приложите палец»

🔹 после подтверждения биометрии:

🔹Ресурс переадресовывает пользователя на SSO.
🔹SSO запрашивает открытый сертификат пользователя и отправляет случайно сгенерированный код.
🔹Пользователь подписывает его закрытым ключом, который хранится в TPM/Secure Enclave.
🔹Доступ к ключу предоставляется через биометрию — Touch ID или Windows Hello.
🔹SSO получает открытый сертификат и подписанный код, извлекает из сертификата открытый ключ и проверяет подпись.
🔹Если всё ОК — SSO переадресовывает пользователя обратно на ресурс.

VKey уже стал надёжной частью нашей инфраструктуры. Мы развиваем сервис дальше: от поддержки новых платформ до автоматизации доступа и биометрического входа.

Если вы тоже задумываетесь об отказе от токенов — оставляйте комментарии, поделимся опытом 🙌

VK Security | Буст этому каналу!

#vkey #эксперты #разбор

Если вы умеете работать с IT-командами и у вас есть опыт построения безопасности сложных технических решений, обратите внимание на эту вакансию.

Задачи:
⚫️сопровождать переезд ИТ-инфраструктуры в наше внутреннее облако
⚫️выстраивать безопасность платформенных сервисов
⚫️исследовать и улучшать безопасность существующих решений, а также внедрять новые решения.

Требования:
🔘понимание *nix систем
🔘знание принципов работы контейнеризации
🔘знание стека TCP/IP

Будет плюсом:
🔘опыт внедрения Service Mesh со стороны ИБ
🔘опыт построения процессов ИБ в CI\CD
🔘наличие профильных сертификатов (OSCP, CEH)

Если вас заинтересовала эта роль — пишите @lisenkova_a

Посмотреть вакансию

VK Security | Буст этому каналу!

#вакансии #инфраструктура