Сбер запускает новую программу по поиску уязвимостей СберБизнеса на BI.ZONE Bug Bounty

Багхантеры проверят защищенность сервисов СберБизнеса — интернет-банка для индивидуальных предпринимателей и юрлиц. В рамках багбаунти-программы предлагается исследовать:

• веб-версию СберБизнес,
• мобильное приложение для Android.

Выплаты за подтвержденные уязвимости в зависимости от уровня их критичности достигают 500 тысяч рублей.

Андрей Лёвкин, руководитель продукта BI.ZONE Bug Bounty: У Сбера более 3,4 млн корпоративных клиентов по всей России. Мы рады, что одна из ключевых финтех-компаний запустила программу для предпринимателей и юрлиц на нашей платформе и расширяет список ресурсов для исследований. Совместная работа специалистов Сбера и багхантеров повысит устойчивость сервисов к актуальным киберугрозам и в целом поможет усилить киберзащиту бизнеса страны.

В программе Sber Bug Bounty уже присутствуют сервисы СберИнвестиции, приложение СберБанк Онлайн и сайт банка, белые хакеры ищут баги в умных устройствах в программе Sber IoT и мошеннические уязвимости в цифровых сервисах в рамках программ Sber Anti-Fraud Bug Bounty.

- -

AppSec Solutions выпустили российский протектор для защиты мобильных приложений

Сервис комплексной защиты AppSec.Cryptex призван обеспечивать безопасность кода приложения от изменения злоумышленником и копирования.

Часть финтех-, ecom-сервисов с бесконтактной оплатой и других приложений пользуются зарубежными решениями, российские аналоги на рынке только начали появляться.

"Сегодня e-pay сервисы используют разнообразные способы шифрования с участием иностранного ПО. Данные и средства пользователей защищены, но сами компании рискуют, ведь поведение зарубежных вендоров в условиях санкций может быть непредсказуемо", - рассказал Юрий Шабалин, директор продукта AppSec.Cryptex компании AppSec Solutions.

AppSec.Cryptex может полностью зашифровать код приложения, тем самым защищая его от модификации и копирования. Сервис создает своего рода прослойку между ПО заказчика и пользователем, таким образом, защищает мобильные приложения от реверс-инжиниринга и изменений. Программа проверяет безопасность среды, в которой запускается приложение и делает код клиента недоступным для взлома.

ПО также защищает интеллектуальную собственность разработчиков.

Основной проблемой приложений является хранение чувствительной информации в коде, запуск в скомпрометированной среде, отсутствие проверок целостности и другие. Защита сложно реализуема и разработчики зачастую уделяют этим вещам недостаточно внимания и, как следствие, рискуют безопасностью приложений. Ситуацию усугубили технологии машинного обучения. В ML-модели нередко содержится вся интеллектуальная собственность. Хакеры могут ее похитить и использовать в собственных целях, например, встраивать в свое приложение и зарабатывать на чужой разработке. Распространенные проблемы – кража интеллектуальной собственности, клонирование или модификация приложений без участия их владельцев, - рассказал Юрий Шабалин директор продукта AppSec.Cryptex компании AppSec Solutions.

От этого страдают, например, и разработчики игр. Один из известных примеров – «кастомизация» игры Flappy Bird, которую в течение пары дней клонировали десятки раз, меняя персонажей. В случае с финтех-сервисами риски еще серьезнее, поскольку приложение-клон, которое может попасться пользователям, вполне может содержать вредоносный код.

--

Сервисы «Телфин» интегрированы с решениями «1С:Фитнес клуб» и «1С:Медицина. Стоматологическая клиника»

Компания «Телфин» и «Лаборатория программного обеспечения» интегрировали виртуальную АТС «Телфин.Офис» с решениями «1С:Фитнес клуб» и «1С:Медицина. Стоматологическая клиника». Это позволило существенно расширить возможности программ для автоматизации бизнес-процессов фитнес-центров и стоматологических клиник. Интеграция призвана повысить скорость обслуживания клиентов и качество коммуникаций.

Благодаря интеграции АТС «Телфин.Офис» с «1С:Фитнес клуб» пользователи решений получили возможность звонить клиентам фитнес-центров, посетителям спортивных школ, секций и кружков прямо из интерфейса программы. Все данные по вызовам автоматически фиксируются в системе «1С:Фитнес клуб»; здесь же хранятся контакты клиентов, статистка обращений, записи телефонных звонков.

Связка АТС «Телфин.Офис» с решением «1С:Медицина. Стоматологическая клиника» также обеспечивает помощь в наборе номера из базы пациентов. Кроме этого, система заранее информирует администратора клиники о том, кто из клиентов звонит: на экране ПК всплывает карточка пациента с его контактами и историей обращений, за счет чего общение становится более персонализированным.

«Интеграция с сервисами современной бизнес-телефонии — это закономерный шаг в развитии наших систем и автоматизации коммуникаций с посетителями фитнес-центров и стоматологических клиник. Наши программы уже работают в связке с чат-ботом «Модуль заботы», сервисами онлайн-записи и мессенджерами. Теперь в едином окне прямо в CRM можно совершать и принимать телефонные звонки. Таким образом компании получили возможность общаться в любом канале по выбору клиента, максимально удобным для него образом, при этом не терять договоренности и автоматически фиксировать все данные в системах «1С:Фитнес клуб» и «1С:Медицина. Стоматологическая клиника», — комментирует Денис Тян, генеральный директор компании «Лаборатория программного обеспечения».

--

Резидент Сколково запустил ИИ-бот для работы с корпоративной базой знаний

ИТ-интегратор «СофтМедиаЛаб», резидент Сколково (Группа ВЭБ.РФ), разработал и внедрил корпоративный чат-бот SML Companion на базе искусственного интеллекта. Инструмент предназначен для быстрого поиска информации в корпоративной базе знаний и уже применяется в рабочих процессах компании.

Принятие ключевых бизнес-решений все больше зависит от качества и скорости обработки данных, однако рост объема и скорости их поступления часто превышает возможности традиционных систем анализа и обработки. Сегодня требуются интеллектуальные подходы к управлению корпоративными знаниями и автоматизации работы с большими данными.

Используя возможности искусственного интеллекта, SML Companion обеспечивает оперативный доступ к корпоративным данным. Чат-бот позволяет сотрудникам получать ответы на типовые вопросы, связанные с HR- процессами — отпусками, командировками, больничными, а также на более специализированные запросы, например, распределение зон ответственности в проектах, чек-листы для проектных менеджеров и тимлидов, помощь в подготовке обратной связи и другое.

«Значимой задачей Центра цифровых технологий Сколково является создание Центра компетенции по ИИ. Центр активно поддерживает резидентов, развивающих продукты на базе GenAI-технологий, в том числе применяемых в корпоративных чат-ботах», – сообщил Александр Фетисов, заместитель главного управляющего директора, директор Центра развития цифровых технологий Фонда «Сколково» (Группа ВЭБ.РФ).

Технически SML Companion построен на базе языковой модели Gemini 2.5 Pro, выбранной после сравнительного тестирования, и интегрирован с корпоративными системами с учетом требований безопасности. Запросы пользователей обрабатываются через Telegram-бот, а логика взаимодействия реализована на платформе N8N, развернутой во внутреннем контуре компании. Система автоматически обогащает запросы документами из корпоративного Google Drive с учетом прав доступа и релевантности, после чего передает их в языковую модель для формирования ответа.

Для персонализации ответов система сопоставляет ник пользователя в Telegram с корпоративной учетной записью и типом трудоустройства, что позволяет выдавать информацию с учетом уровней доступа и ролей сотрудников. При необходимости языковая модель может быть заменена на более подходящую версию в будущем.

«За 10 лет в нашей компании накопилась внушительная база знаний, включающая внутренние документы и отраслевую экспертизу. По нашим наблюдениям, сотрудники могли тратить до 25% рабочего времени на поиск нужной информации. Во время поиска они отвлекаются от ключевых задач и задают вопросы коллегам, что снижает общую производительность. Именно поэтому автоматизация поиска информации с помощью искусственного интеллекта становится важным инструментом работы с большими объемами данных. Она помогает сделать процессы прозрачнее, ускоряет принятие решений и сокращает время на рутинные задачи. Наш кейс — наглядное тому подтверждение», – добавил Максим Горшков, технический директор компании «СофтМедиаЛаб», резидента Сколково.

Проект успешно прошел внутреннее внедрение, продемонстрировав значительное сокращение времени на поиск информации и снижение нагрузки на HR-отдел, руководителей и проектных менеджеров. Новые сотрудники быстрее адаптируются и эффективнее выполняют свои задачи.

Следующий этап рассчитан на расширение функционала чат-бота и интеграцию с дополнительными внутренними данными, включая проекты с ограниченным доступом.

-- 

Релизы безопасности Axiom JDK и Libercat включают более 1000 улучшений и 10 устраненных уязвимостей

Компания Axiom JDK (АО «Аксиом») объявляет о выходе новых релизов безопасности отечественного Java-стека: среды разработки и исполнения Axiom JDK и сервера приложений Libercat. Всего устранено 10 уязвимостей с критическим, высоким и средним уровнем риска и добавлено более 1000 улучшений. Новые версии обеспечивают комплексный подход к безопасности Java-приложений, соответствие ГОСТ Р 56939-2024 и доступны для 20 системных платформ, включая наиболее востребованные системные окружения.

Релиз Axiom JDK вышел в рамках цикла критических обновлений безопасности. Версия включает 7 устраненных уязвимостей CVE (Common Vulnerabilities and Exposures) в модулях security-libs, client-libs, core-libs, JavaFX, раскрытых за последние 3 месяца в составе OpenJDK. Всего в релиз внесено 950 улучшений и бэкпортов, среди которых прекращение поддержки устаревших платформ (Windows x86, macOS 10.x), улучшение поведения системных инструментов, например, zic, и другие. Квартальное обновление безопасности минимизирует количество необходимых изменений в JDK. Это особенно важно при модернизации ИТ-систем, когда незначительные исправления могут непреднамеренно повлиять на работу приложений или фреймворков и расширить поверхность атаки. CPU-релиз Axiom JDK обеспечивает быстрое обновление среды исполнения до безопасной и стабильной версии, лишая злоумышленников шансов воспользоваться известными уязвимостями. Обновление доступно для всех LTS-релизов JDK 8, 11, 17 и 21, а также для текущего - JDK 24 Для свободной версии Axiom JDK его можно загрузить в личном кабинете разработчика на сайте поставщика lk.axiomjdk.ru. По запросу поддержка может быть предоставлена и для более ранних релизов, начиная от JDK 6.

Новая версия сервера Java-приложений Libercat получила 85 улучшений, включая три устраненные уязвимости в составе Tomcat EE. Две из них с высоким уровнем риска и одна – с критическим, что говорит о способности привести к удалённому выполнению кода или отказу в обслуживании. Эти уязвимости представляют серьёзную угрозу для продуктивных Java-приложений, особенно в высоконагруженных и критически важных системах.

Обновление Libercat отвечает требованиям системных администраторов и DevOps-инженеров к прозрачности, контролю и масштабируемости логирования в рабочей среде. Новый релиз включает полноценную поддержку log4j2 вместо устаревшего JULI. Это обеспечивает более гибкое и безопасное управление журналированием с поддержкой ротации логов, включая настройку параметров логирования отдельно для каждого веб-приложения. Кроме того, в новой версии повышена отказоустойчивость за счёт улучшения восстановление XA-транзакций и добавлена поддержка внедрения Spring-компонентов через @Resource в приложения стандарта Java EE/Jakarta EE.

«Обновления платформенного уровня — это основа защиты всей ИТ-инфраструктуры. Каждый релиз Axiom JDK и Libercat направлен на снижение рисков и усиление безопасности Java-экосистемы. Мы устранили критические уязвимости, обеспечили соответствие ГОСТ Р 56939–2024 и сохранили полную совместимость. Использование среды исполнения Java и сервера приложений от одного поставщика — стратегически важный выбор: это упрощает сопровождение, повышает безопасность и даёт ИТ- и ИБ- командам уверенность в предсказуемости и устойчивости технологического стека», — отметил Сергей Лунегов, директор по продуктам Axiom JDK.

Платформа Axiom JDK поставляется в трех вариантах: Full, Standard и Lite, а также как среда исполнения JRE и Axiom JDK Express с улучшенной производительностью для Java 8 и 11 Версия Lite подходит для высокоплотного развертывания контейнеризованных приложений и позволяет наиболее эффективно использовать облачные ресурсы.

Стандартизованный сервер приложений Libercat создан на основе Apache Tomcat с учетом потребностей российского рынка, где Java занимает центральное место в корпоративном ИТ- ландшафте. Он работает на платформе Axiom JDK и доступен в трёх вариантах: как контейнер сервлетов, полноценный сервер приложений и встраиваемая библиотека для построения решений на основе Spring. Это позволяет заказчикам использовать проверенную Java-инфраструктуру и внедрять современные микросервисы.

--

Яндекс подтвердил соответствие международному стандарту ответственной разработки ИИ

Яндекс получил сертификат ISO/IEC 42001. Он подтверждает, что компания ответственно подходит к созданию искусственного интеллекта. Независимый аудит установил, что процессы разработки и предоставления YandexGPT соответствуют всем требованиям стандарта, в том числе в области этики и безопасности.

О стандарте

ISO/IEC 42001:2023 — это международный стандарт для систем менеджмента в организациях, которые разрабатывают или используют решения на основе искусственного интеллекта. Он оценивает не сами ИИ-продукты, а подход к их созданию и внедрению: насколько прозрачно и безопасно действует компания, насколько эффективны её процессы.

YandexGPT — семейство больших языковых моделей (LLM, Large Language Model) Яндекса. Они применяются более чем в 20 сервисах и продуктах компании — среди них Поиск, AI-ассистент Алиса, Нейроэксперт, Реклама, Шедеврум, Умная камера, AI-ассистенты в Маркете, Лавке и Еде. Их используют и клиенты Yandex Cloud — на платформе Yandex Cloud AI Studio.

Сертфикат подтверждает, что эксперты удостоверились, что Яндекс должным образом обеспечивает безопасность данных пользователей YandexGPT, автоматически мониторит ошибки и аномалии в работе моделей, следит за качеством и этичностью ответов, анализирует обратную связь от пользователей и ведёт подробную документацию. Аудит также подтвердил, что Яндекс учитывает этические и социальные риски, связанные с развитием ИИ, и обучает сотрудников правилам ответственной разработки.

«Яндекс всегда очень бережно подходил ко всему, что связано с искусственным интеллектом. Мы начали выстраивать процессы, которые обеспечивали бы этичность и безопасность ИИ, задолго до публичного анонса YandexGPT. Получение сертификата — ещё одно подтверждение, что мы всё делаем правильно. Яндекс выступает за ответственное применение ИИ и готов делиться своим опытом с другими российскими компаниями», — говорит Анна Зинчук, руководитель службы комплаенса и обучения информационной безопасности в Яндексе.

Принципы, которых Яндекс придерживается при разработке и использовании ИИ, опубликованы в общем доступе. В марте 2024 года Яндекс в составе Альянса в сфере ИИ разработал и подписал декларацию об ответственной разработке и использовании сервисов на основе генеративного ИИ. Компания регулярно вводит новые меры для повышения безопасности своих ИИ-продуктов. Так, с весны 2025 года Яндекс привлекает к проверке своих генеративных нейросетей «белых хакеров» и выплачивает за найденные уязвимости до миллиона рублей.

--

За новостями телекома и IT удобно следить в телеграм-канале abloud62. Региональные новости и анонсы пресс-релизов вы найдете в канале abloudRealTime, также подключайтесь к каналу Бойко про телеком ВКонтакте

теги: дайджест айти

--