STF Bank — часть банковской системы наряду с First Partner Bank, появившимся совсем недавно, и центральным банком, который контролирует работу STF Bank и First Partner Bank и отвечает за эмиссию денег. Для взаимодействия и взаиморасчетов с ЦБ используется система АРМ КБР, которая позволяет банку проводить платежи с центральным банком через открытые у него корсчета.
Повсеместно используется интернет-банкинг, что позволяет клиентам переводить денежные средства, открывать расчетные счета, перечислять зарплату сотрудникам и совершать массу других операций. С помощью безналичных платежей происходят расчеты и между предприятиями. При этом расширение возможностей интернет-банкинга влечет за собой рост числа угроз кибербезопасности. Статистика центрального банка показывает, что невнимательное отношение менеджмента финансовых организаций к вопросам информационной безопасности приводит к значимым потерям денежных средств. Такие банки сильно рискуют лишиться лицензии, что уже не раз случалось за последние годы.


# Скоуп
Внешний периметр сегмента находится в подсети 10.127.12.0/24.

## Входные точки
* 10.127.12.138
* 10.127.12.141
* 10.127.12.143
* 10.127.12.173
* 10.127.12.217
* 10.127.12.254
* 10.127.12.10

STF Bank

Осуществляет финансовые операции между физическими и юридическими лицами, выполняет межбанковские переводы и предоставляет услуги интернет-банкинга

Холдинг Big Bro Group в рамках инвестиционной программы приобрел энергетическую компанию, которая владеет электрической сетью и электроустановками, обеспечивающими энергией центральный район мегаполиса. Топ-менеджмент поставил перед руководством энергокомпании цель — повысить надежность транспортировки и распределения электроэнергии. Под эту цель холдинг, помимо выделения средств на своевременное обслуживание и ремонт электрохозяйства, разработал программу развития. Она предполагает реконструкцию и модернизацию существующих энергообъектов, а также строительство новых. Недавно завершился первый этап программы, была введена в промышленную эксплуатацию новая подстанция. На подстанции используются технологичные и высоконадежные силовые трансформаторы, внедрены цифровые системы релейной защиты и АСУ ТП. Обмен между устройствами выполняется по протоколам стандарта МЭК 61850.

# Скоуп
Внешний периметр сегмента находится в подсети 10.127.13.0/24.

## Входные точки
* 10.127.13.151
* 10.127.13.164
* 10.127.13.175
* 10.127.13.200
* 10.127.13.222
* 10.127.13.248

Big Bro Group

Производит электроэнергию для нужд граждан и для нескольких крупных производств

IT-компания, занимающаяся поддержкой программного обеспечения, в том числе решений и сервисов для государственных ведомств, а также крупных местных и зарубежных компаний из различных отраслей (финансовой, промышленной, здравоохранения и других). В компании работают более 5 тыс. сотрудников, а ее офисы расположены по всей стране. В инфраструктуре Hello World Systems локально развернуто множество сервисов: веб-приложения, почтовый сервер, ERP- и CRM-системы, социальная сеть.

# Скоуп
Внешний периметр сегмента находится в подсети 10.127.11.0/24.

## Входные точки
* 10.127.11.130
* 10.127.11.131
* 10.127.11.146
* 10.127.11.152
* 10.127.11.217
* 10.127.11.221
* 10.127.11.254

Hello World Systems

Компания с базовой IT-инфраструктурой: почтовый сервер, веб-приложения, ERP- и CRM-системы и другие сервисы

Международные киберучения по информационной безопасности. Сильнейшие исследователи проверяют защищенность IT-систем виртуального Государства F.&nbsp;

Standoff 11

Тинькофф

Российский коммерческий банк, сфокусированный полностью на дистанционном обслуживании, не имеющий розничных отделений.

https://www.tinkoff.ru

Российский коммерческий банк, сфокусированный полностью на дистанционном обслуживании, не имеющий розничных отделений.

Tinkoff

## Скоуп

* *.standoff365.com

Standoff 365 включает в себя несколько проектов: «Киберполигон», Bug Bounty и Talks. В конкурсе участвуют все поддомены, кроме: 

* meet.standoff365.com
* chat.standoff365.com
* vpn.standoff365.com
* partners.standoff365.com
* 365-vpn.standoff365.com
* publicvpn.standoff365.com
* privatevpn.standoff365.com
* cfp.standoff365.com

**Максимально возможное вознаграждение** мы выплачиваем **только за уязвимости, связанные с багбаунти и аутентификацией**. Сумма вознаграждения за остальные уязвимости может быть меньшей.

XSS и уязвимости в `/api/game-portal` в данный момент не оплачиваются. В данный момент ведутся работы по митигации

## Программа для тестов

Для тестирования уязвимостей, связанных с правами доступа, создана специальная закрытая программа багбаунти. В ее названии, описании и скоупе содержатся флаги (секретные строки) в формате `^STF365[a-zA-Z0-9\-_@]+$`. Получив любой из флагов или другие данные этой закрытой программы, вы увеличите сумму вознаграждения за отчет на 10%.

Для удобства тестирования в программу добавлены отчет, комментарий и другие данные. Они приведены в таблице ниже.

| Тип данных | Значение |
| --- | --- |
| Приватная программа (id) | 80 |
| Приватная программа (slug) | [standoff-priv8t](https://bugbounty.standoff365.com/programs/standoff-priv8t) |
| Документ в правилах приватной программы (uuid) | e1a49787-ce62-4520-835d-c69bb1646a43 |
| Отчет (id) | 1161 |
| Файл, приложенный к отчету (uuid) | 93e5dd37-d7a7-4a21-9014-88ccc3ada656 |
| Комментарий к отчету (id) | 4393 |
| Файл, приложенный к комментарию (uuid) | f837a477-1b71-4f25-9697-26c9b97331d7 |

Пожалуйста, не создавайте лишние отчеты в программе. Если вам необходимы дополнительные данные для тестирования, напишите на почту support@standoff365.com.

## Вознаграждения за уязвимости

| Уязвимость | Вознаграждение |
| --- | --- |
| Удаленное выполнение кода (RCE) | 200 000–1 000 000 ₽ |
| Внедрение (внедрение SQL-кода или его аналоги) | 120 000–500 000 ₽ |
| Доступ к локальным файлам или их модификация (LFR, RFI, XXE) | 70 000–350 000 ₽ |
| Обход аутентификации интерфейса администрирования | 50 000–250 000 ₽ |
| Access сontrol с получением данных отчета | 50 000–250 000 ₽ |
| Access сontrol с получением данных закрытой программы | 50 000–150 000 ₽ |
| Подмена запросов на стороне сервера (SSRF, не вслепую) | 50 000–100 000 ₽ |

&nbsp;

Все остальные уязвимости, не указанные в таблице, могут быть оплачены по решению комиссии в зависимости от их уровня опасности (но вознаграждение не гарантируется). 

Standoff 365 не выплачивает вознаграждение:

* за отчеты сканеров безопасности и других автоматизированных инструментов;
* раскрытие несекретной информации (наименования ПО или его версии);
* информацию об IP-адресах, DNS-записях и открытых портах;
* проблемы и уязвимости, которые основаны на версии используемого продукта, без демонстрации их эксплуатации;
* уязвимости, эксплуатацию которых блокируют СЗИ, без демонстрации обхода СЗИ;
* отчеты о небезопасных шифрах SSL и TLS без демонстрации их эксплуатации;
* отчеты об отсутствии SSL и других лучших практик (best current practices);
* уязвимости, информацию о которых ранее передали другие участники конкурса (дубликаты отчетов);
* уязвимости 0-day, о которых стало публично известно менее 30 дней назад, и уязвимости с CVSS выше 8, о которых стало известно менее 14 дней назад;
* уязвимости 1-day, информация о которых получена командой по безопасности из открытых источников;
* недостатки, связанные с некорректной настройкой почтовых серверов (DMARC, DKIM и другие) и напрямую не влияющие на пользователей или данные приложения;
* Self-XSS и другие уязвимости, напрямую не влияющие на пользователей или данные приложения.

Отчеты о лучших практиках (отсутствие флагов secure, httponly и т. д.) принимаются как информативные.

## Требования к участникам

1. Участвовать в программе могут все заинтересованные исследователи в возрасте от 18 лет.
2. Исследователи в возрасте от 14 до 18 лет имеют право участвовать в программе только при наличии письменного согласия родителей или законного представителя.
3. Сотрудники Standoff 365 не могут участвовать в программе.

Исследователям необходимо:

1. Соблюдать правила, которые устанавливает Standoff 365 в своей программе по раскрытию уязвимостей, а также правила платформы Standoff 365 Bug Bounty.
2. Соблюдать правила конфиденциальности информации. Запрещено получать доступ к данным другого пользователя без его согласия, изменять и уничтожать их, а также раскрывать любую конфиденциальную информацию, случайным образом полученную в ходе поиска уязвимостей или их демонстрации. Преднамеренный доступ к этой информации запрещен и может быть признан незаконным.
3. Поддерживать общение с командой по безопасности, направлять ей отчеты о выявленных уязвимостях, оформленные согласно требованиям, и давать обратную связь, если у специалистов возникнут вопросы об отчете.
4. Не разглашать сведения об уязвимости до их публичного раскрытия Standoff 365.

## Обязанности Standoff 365

Standoff 365 обязуется:

1. Отдавать приоритет задачам безопасности, оперативно подходить к устранению обнаруженных уязвимостей.
2. Уважать исследователей, не препятствовать раскрытию информации об отчете без четких на то оснований.
3. Не выдвигать исследователям необоснованные обвинения, связанные с участием в конкурсе.

## Публичное раскрытие информации об уязвимости

**Публичное раскрытие по взаимному соглашению.** Standoff 365 обязуется открыто общаться с исследователями о сроках раскрытия информации. Стороны могут выбрать время, в которое будет обнародовано содержание отчета.

## Недопустимые действия

Исследователям запрещено:  

* Воздействовать на учетные записи других пользователей без их разрешения.
* Использовать обнаруженную уязвимость в личных целях.
* Использовать инструменты тестирования уязвимостей, автоматически генерирующие значительные объемы трафика и приводящие к атакам с исчерпанием ресурсов.
* Проводить атаки, наносящие вред целостности и доступности сервисов (например, DoS-атаки, брутфорс-атаки), пытаться эксплуатировать уязвимость, нацеленную на исчерпание ресурсов. Следует сообщить о проблеме команде по безопасности Standoff 365, которая проведет атаку в тестовой среде.
* Проводить физические атаки на персонал, дата-центры и офисы компании.
* Проводить атаки на системы Standoff 365 с использованием техник социальной инженерии (фишинг, вишинг и т. д.) и спам-рассылок клиентам, партнерам и сотрудникам.
* Исследовать серверную инфраструктуру, где размещены веб-приложения.

Если при исследовании сервисов компании вы обнаружили несколько проблем безопасности, подготовьте отчеты о каждой из выявленных уязвимостей отдельно.

Standoff 365

Standoff 365 — платформа для хакеров. Команда Standoff 365 приглашает вас найти уязвимости в платформе и получить денежное вознаграждение.

Standoff 365 - платформа для исследователей информационной безопасности, включающая в себя киберполигон, программы багбаунти и митап Talks.

Смотреть трансляцию митапа

Подать заявку на участие

Подать заявку на доклад