Андрей Лёвкин, руководитель продукта BI.ZONE Bug Bounty, и Александра Борисова (ENZO), руководитель группы развития сообществ, рассказали порталу Cyber Media о том, как развивается комьюнити багхантеров в России и что драйвит исследователей сдавать больше уязвимостей в программы.
Cyber Media: Сообщество багхантеров во многом развивается вокруг российских платформ. А как было до их появления, когда основной площадкой выступал H1?
Андрей Лёвкин: Раньше багбаунти в России развивалось не вокруг платформ, а вокруг российских вендоров, которые были представлены на H1 или имели self-hosted-багбаунти. Их можно было пересчитать по пальцам одной руки. Например, программа VK была представлена на H1, а «Яндекс» хостил и хостит до сих пор свои программы самостоятельно.
Что касается комьюнити, в СНГ его как такового не было. Речь шла скорее о международном сообществе, куда входили исследователи из России.
Cyber Media: Какой путь прошло сообщество исследователей с момента появления российских платформ?
Александра Борисова: За два года российское комьюнити багхантеров проделало большой путь. Можно сказать, что оно сформировалось с нуля.
Рассмотрим на примере платформы BI.ZONE Bug Bounty. В 2022 году у нас было только комьюнити конференции OFFZONE. Оно большое и крутое, но нужного фундамента для формирования тусовки багхантеров в нем не было. Поэтому мы начали с того, что собрали всех познакомиться очно в неформальной обстановке. Приглашали тех ребят из России, которые круто показали себя на H1 или просто интересовались offensive. С 2022 года делали стенды платформы на OFFZONE, расширяли круг знакомств. Одновременно мы вместе с вендорами активно наполняли платформу программами, чтобы комьюнити было вокруг чего формироваться. И неплохо сработали: в 2023 году мы 18 раз увеличивали скоуп и поднимали выплаты, а к концу 2024 года на BI.ZONE Bug Bounty вышло уже 67 публичных программ.
В 2023 году у нас начал активно формироваться телеграм-чат, хотя на тот момент мы не драйвили его развитие. Это стало для нас сигналом, что появилось ядро сообщества и с ним нужно работать дальше, пора выходить на новый уровень. Поэтому мы сменили концепцию мероприятий и от небольших митапов в нашем офисе перешли к полноценным ивентам. Так появился BUGS ZONE — приватный ивент для лучших багхантеров нашей платформы. Мы сделали первый двухнедельный онлайн-этап с багхантингом на закрытом скоупе приглашенных вендоров, которых звали как из паблика, так и из приваток. Вторым этапом стало очное мероприятие с развлекательной программой, награждением от нас и вендоров и прочими приятностями. BUGS ZONE важен не только для укрепления связей с багхантерами, но и для знакомства вендорских команд с исследователями. Это помогает им лучше понять друг друга и находить общий язык в дальнейшем.
Cyber Media: Для многих комьюнити багхантеров равно комьюнити белых хакеров. Насколько это правда? Действительно ли большинство багхантеров работают пентестерами?
Александра Борисова: Комьюнити белых хакеров — очень широкое и расплывчатое понятие. Рассматривая его предметно, всегда стоит держать в голове, что это не одно большое сообщество, а множество разного размера сообществ, пересекающихся между собой. Комьюнити багхантеров в России довольно молодое, поэтому среди участников, например, много ребят из CTF-тусовки.
Большинство действительно трудятся в offensive, но есть ребята и из blue team, а отдельные участники вообще не работают в сфере кибербезопасности.
Cyber Media: Каково соотношение опытных исследователей и новичков в сообществе? Как они взаимодействуют между собой?
Андрей Лёвкин: Процент новичков довольно большой: за последние два года специалисты начали активнее интересоваться багхантингом и пробовать свои силы. Но есть и опытные ребята, кому также нравится общаться с комьюнити. Что касается обмена опытом — он есть, но не такой активный, как, например, у blue team. Это связано со спецификой багхантинга и работой атакующих в целом. Один из ключевых принципов багбаунти — «кто первый сдал, того и выплата». Поэтому багхантеры в первую очередь друг для друга конкуренты, им не очень выгодно делиться инструментами и опытом слишком активно. Но это не мешает нам звать спикеров на BUGS ZONE и писать полезные материалы вместе с участниками сообщества.
Cyber Media: Многим исследователям приглашения в приватные программы приходят буквально после 1–2 найденных уязвимостей — как на российских, так и на зарубежных платформах. С чем это связано? Можно ли говорить о дефиците багхантеров?
Андрей Лёвкин: Дефицит багхантеров определенно есть. Недавно коллеги из VK представили большое исследование, где подробно разобрали, с чем это связано. Если коротко, то квалифицированных кадров не хватает в кибербезе в целом.
В конце этого лета мы тоже провели исследование, но уже среди аудитории нашей платформы. Оно показало, что для 71% багхантинг — исключительно хобби. Как основной источник дохода багбаунти используют единицы.
Конкурируют между собой не только площадки, но и вендоры. Зрелые компании все больше задумываются, как улучшить процессы внутри и сделать багхантинг более комфортным для исследователей, какие механики придумать для вовлечения и сколько заложить бюджета на продвижение этой истории.
Стать любимчиком вендоров и платформ не так сложно — достаточно регулярно сдавать баги.
Cyber Media: В последнее время появилось много разных активностей, направленных на мотивацию багхантеров активно участвовать в программах: от прогресс-баров с повышением выплат до адвент-календарей и приватных ивентов. Что, помимо суммы выплат, мотивирует исследователей активнее искать баги в программах?
Александра Борисова: Согласно исследованию нашей аудитории, 83% багхантеров интересно общаться с сообществом и обмениваться опытом. Так что мы стараемся регулярно проводить ивенты и собирать всех очно.
Также многим нравятся дух соревнования и получать ачивки. Поэтому каждый квартал и каждый год мы подводим итоги и награждаем лучших повышением выплат или памятными призами. В этом году мы ввели бонус в виде +5% к каждой выплате для топ-3 исследователей по итогам каждого квартала.
Ну и старый добрый мерч, конечно же. Не стоит недооценивать его силу! Мы делаем не только базовые позиции вроде худи и футболок, но и придумываем что-то запоминающееся, чтобы показать наше внимание к сообществу. Например, одним из подарков на первом BUGS ZONE стали портативные приставки с ретроиграми. При этом играть можно было не только в игры, но и с прошивкой.
Cyber Media: На широкую аудиторию часто обсуждаются истории с огромными выплатами исследователям за найденные уязвимости. Но гораздо реже говорят о примерах так называемого хакерского альтруизма. Встречалось ли подобное в вашей практике?
Андрей Лёвкин: На BI.ZONE Bug Bounty есть программы, которые называются ПИУ (программа информирования об уязвимостях, аналог vulnerability disclosure program). Это программы без выплат, с них иногда начинают запускать багбаунти регионы. Дальше в них, как правило, появляются выплаты. Казалось бы, зачем искать баги там, где за них не платят? Но исследователи все равно заносят по ним отчеты. На вопрос о мотивации нам ответили: «Есть ощущение, что делаешь полезное дело».
Еще есть история с благотворительностью. Например, у нас на платформе можно получить ачивки разного уровня, если вносить пожертвования в благотворительные организации от суммы выплат. У некоторых исследователей эта ачивка есть даже на более продвинутом уровне. Это здорово!
Cyber Media: Дайте ваш прогноз: какие векторы развития комьюнити багхантеров вы видите в обозримом будущем?
Андрей Лёвкин: Багбаунти — это игра вдолгую. Основные моменты, на которые мы ставим, — рост конкуренции среди багхантеров, повышение качества отчетов и развитие комьюнити не только вокруг платформ и self-hosted-программ, но и вокруг отдельных вендоров. Поскольку конкуренция сейчас не так высока и дальше будет только расти, сейчас самое время, чтобы вкатиться в багбаунти.
Екатерина Тьюринг, кибердетектив, в интервью для Кибер Медиа рассказала, почему социальная инженерия остается ключевым инструментом мошенников, как устроены современные схемы обмана и что на самом деле происходит с безопасностью пользователей в таких сервисах, как MAX.
Эксперты представили первый аналитический отчет об уровне зрелости ИБ в 52 российских компаниях, выявивший «парадокс роста»: огромные бюджеты корпораций не гарантируют лидерства в безопасности из-за масштабов и сложности их инфраструктуры.
Олег Иевлев, декан факультета КиИБ МТУСИ, в интервью для Кибер Медиа рассказал, как выстраивается баланс между академическим качеством и требованиями индустрии, какую роль в обучении играют киберполигоны и CTF, чего сегодня ждут работодатели от выпускников и почему информационная безопасность в ближайшие годы станет базовой компетенцией для всех технических специалистов.
Защита самых важных данных в последние годы среди главных приоритетов крупного бизнеса и государственных организаций, стремящихся усилить информационную безопасность.
За последние годы рынок информационной безопасности в России прошел через масштабную трансформацию.
На фоне дефицита кадров и трансформации рынка ИТ и ИБ участие женщин в отрасли остается противоречивым: с одной стороны, их доля растет, с другой — сохраняются как профессиональные, так и внутренние барьеры, замедляющие карьерное развитие.
Роман Семенов, директор департамента мониторинга и реагирования на киберугрозы блока информационной безопасности «Ростелекома», в интервью Cyber Media рассказал, как крупнейший в России интегрированный провайдер цифровых услуг и решений строит работу центра мониторинга информационной безопасности, справляется с новыми угрозами и готовит специалистов для защиты сети.
В 2026 году киберугрозы продолжают усложняться, а требования регуляторов — ужесточаются.
Кирилл Рудик, главный архитектор по кибербезопасности Cloud X, в интервью для Cyber Media рассказал, как меняется ландшафт облачных угроз, какие риски связаны с Kubernetes и cloud-native архитектурами и какие технологии уже в ближайший год могут стать стандартом де-факто в сфере облачной безопасности.
Андрей Масалович — ведущий эксперт по конкурентной разведке, известный широкой аудитории как блогер КиберДед, Президент Консорциума «Инфорус» и создатель аналитической технологии Avalanche.
