Итоги года на Standoff Bug Bounty: 32% находок — уязвимости высокого и критического уровня опасности

Positive Technologies подвела итоги работы площадки Standoff Bug Bounty за 2025 г. На платформе кратно увеличилось число исследователей, программ и найденных уязвимостей, уровень опасности каждого третьего найденного недостатка оценивался как высокий и критический. Рекордсменом стал офлайн-бизнес: в этом секторе 37% принятых отчетов содержали данные о багах, представляющих наибольший риск. Об этом CNews сообщили представители Positive Technologies.

К офлайн-бизнесу в отчете отнесены компании, в которых информационные технологии выполняют только поддерживающую функцию. Это организации из сферы ритейла, медицины, производства и логистики.

Количество багхантеров, зарегистрированных на платформе, достигло 32 тыс., увеличившись за 2025 г. на 74%. Согласно отчету, большая часть исследователей участвует в программах багбаунти от одного года до трех лет, а каждый пятый багхантер имеет более длительный опыт работы в этой сфере. В качестве основных факторов мотивации специалисты отмечают не только получение денежных выплат (92%), но также развитие навыков и накопление опыта (76%), укрепление профессиональной репутации и обретение признания в сообществе (54%).

«Быстрорастущее сообщество багхантеров на нашей платформе разнородно с точки зрения опыта и занятости. Это особенно ценно для краудсорсинговой модели как инструмента киберзащиты бизнеса, — отметил Азиз Алимов, руководитель Standoff Bug Bounty. — Наше исследование показало, что две трети компаний запускают багбаунти прежде всего для превентивного укрепления безопасности, считая такие программы элементом системной защиты. Например, в 2025 г. на Standoff Bug Bounty было представлено 233 программы по поиску уязвимостей — это в 2,2 раза больше, чем в 2024 г. Положительная динамика подтверждает, что багбаунти — это инвестиция в устойчивость, надежность и зрелость процессов ИБ. Такой подход оправдывает ожидания: бизнес выявляет критически опасные уязвимости, лучше видит поверхность атаки, совершенствует взаимодействие между командами разработки и безопасности, что в итоге снижает уровень рисков».

За год багхантеры сдали в общей сложности 7870 отчетов — на 61% больше, чем годом ранее. Среди них было 2909 уникальных и принятых к оплате, что на 34% превышает показатель 2024 г. Общая доля уязвимостей высокого и критического уровня опасности составила 32%, на 1 п. п. превысив показатель предыдущего года. Самый актуальный класс багов за все время работы платформы — недостатки контроля доступа: в 2025 г. к этому типу отнесено 58% всех уязвимостей высокой и критической степени опасности.

С увеличением количества отчетов вырос и уровень вознаграждений. Общий объем вознаграждений исследователям составил более 160 млн руб. (на 49% больше, чем за 2024 г.). Максимальная награда на площадке составила 4 970 800 руб., что на 26% больше аналогичного показателя годом ранее, а средняя выплата за принятый отчет превысила 65 тыс. руб. (рост — 12%). При этом за 2025 г. 43 исследователя заработали более 1 млн руб., а шесть из них — свыше 5 млн руб.

В исследовании также отмечается, что в 2025 г. наибольшее число программ на Standoff Bug Bounty запускали компании, имеющие цифровые площадки и инфраструктуры с множеством пользователей и сложной бизнес-логикой — контент-платформы (19% всех программ), корпоративные и SaaS-платформы (18%).

К контент-платформам отнесены социальные сети, медиа- и развлекательные сервисы, рекламные и образовательные платформы. В категорию корпоративных и SaaS-платформ объединены корпоративные порталы, сервисы для совместной работы, платформы видео-конференц-связи и облачные решения для бизнеса.

Самыми привлекательными для багхантеров оказались инфраструктуры финансовых сервисов, контент-платформ и решений, связанных с торговлей и электронной коммерцией. На их долю приходится почти половина всех принятых отчетов (49%). При этом наибольшая доля суммарных выплат (24%) в 2025 г. пришлась на контент-платформы, а самые щедрые вознаграждения выплачивали владельцы корпоративных и SaaS-платформ (средняя выплата превысила 115 тыс. руб.).