K2 Cloud (подразделение К2Тех) переводит программу Bug Bounty в публичный формат. Теперь к поиску уязвимостей в облачной платформе приглашаются все верифицированные пользователи площадки Standoff Bug Bounty от Positive Technologies. Максимальное вознаграждение за найденную уязвимость составит 500 000 рублей.

Standoff Bug Bounty — крупнейшая российская платформа для поиска уязвимостей, запущенная Positive Technologies в 2022 году.

K2 Cloud запустил программу в закрытом формате в 2025 году. К участию было приглашено более 100 верифицированных багхантеров, из которых 31 получил доступ к облачной инфраструктуре. Теперь порог участия снят и программа открыта для всех исследователей, прошедших верификацию на Standoff Bug Bounty.

Александр Лугов

Руководитель группы по информационной безопасности K2 Cloud

Закрытый этап подтвердил, что наша платформа хорошо защищена — это подтверждается и независимыми пентестами, и результатами bug bounty. Именно поэтому мы готовы открыть программу широкому сообществу багхантеров. Независимая проверка это лучший способ определить, что защита работает именно так, как должна

В область действия программы входят все публичные ресурсы, обеспечивающие работу облачной платформы K2 Cloud: веб-консоль управления (console.k2.cloud) и домены всех облачных сервисов. Особое внимание уделяется уязвимостям, способным повлиять на работу инфраструктуры или на безопасность данных пользователей.

Максимальная выплата в публичном этапе составит до 500 000 рублей — в 1,7 раза выше, чем на старте закрытой программы. Размер вознаграждения определяется типом и степенью влияния уязвимости на безопасность сервисов и данных клиентов. По мере развития программы суммы будут расти.

K2 Cloud совмещает bug bounty с регулярными внешними пентестами — это позволяет выстраивать надежную систему защиты, которая реагирует на реальный ландшафт угроз, а не только на формальные требования. Уровень защищенности платформы подтвержден ведущими отраслевыми стандартами: 152-ФЗ, PCI DSS 4.0 и ГОСТ Р 57580.1-2017.