«Яндекс» выплачивает более 50 млн рублей белым хакерам в рамках программы «Охота за ошибками»: итоги 2024 года и планы на будущее

«Яндекс» подсчитал результаты программы «Охота за ошибками» 2024 года. Компания выделила 50,8 миллиона рублей специалистам по информационной безопасности за обнаруженные уязвимости, среди которых 5,9 миллиона рублей были выплачены одному белому хакеру за 28 отчетов. В 2025 году «Яндекс» планирует выделить 100 миллионов рублей на вознаграждения участникам программы «Охота за ошибками».

В 2024 году в багбаунти от «Яндекса» принимали участие 749 исследователей, что на 40% больше, чем в предыдущем году.

«В общей сложности „охотники“ представили 980 отчетов, соответствующих требованиям программы, что является на треть больше, чем в 2023 году. За 523 отчета участники получили вознаграждения. Остальные отчеты содержали уязвимости и ошибки, которые уже были обнаружены другими исследователями или командой безопасности „Яндекса“. Самый продуктивный участник отправил 28 отчетов об уникальных ошибках и заработал 5,9 миллиона рублей. На вторых и третьих местах расположились „охотники“, получившие 3,6 и 3 миллиона рублей соответственно. Все выявленные критические ошибки были устранены», — сообщили в организации.

Зал славы программы «Охота за ошибками» 2024 года:

Инициатива «Охота за ошибками», стартовавшая в 2012 году, позволяет «Яндексу» получать независимую оценку уровня безопасности своих сервисов и приложений. Это один из методов компании по улучшению защиты и надежности своей инфраструктуры. В дополнение к этому, команда безопасности проводит внешние аудиты для оценки устойчивости инфраструктуры к атакам и обеспечения безопасности сервисов.

Компания «Яндекс» также уточнила в правилах, что вознаграждения не выплачиваются за определенные ситуации и векторы атак, а также за некритические уязвимости или ошибочные методы обнаружения багов. К таким случаям относятся физические атаки на объекты «Яндекса» или его дата-центры, использование инструментов для сканирования безопасности, применение социальных техник на сотрудниках или подрядчиках компании, а также атаки, требующие физического доступа к устройству пользователя.