Поделиться
В 2025 г. количество награждений в программе «Охота за ошибками» выросло на 30%
«Яндекс» подвел ежегодные итоги программы «Охота за ошибками», посвященной поиску уязвимостей в сервисах и инфраструктуре компании. В 2025 г. компания выплатила независимым исследователям 62 млн руб. — на 20% больше, чем годом ранее. Они получили вознаграждение за 706 отчетов — это на 30% больше, чем в 2024 г. Об этом CNews сообщили представители «Яндекса».
«Охота за ошибками» — постоянная программа «Яндекса» по премированию этичных хакеров — специалистов по компьютерной безопасности. Она помогает усиливать безопасность и надежность сервисов. В 2012 г. «Яндекс»первым в России запустил подобную программу. Список ошибок и уязвимостей для «охоты», а также размеры денежных наград за их обнаружение можно посмотреть на сайте.
В 2025 г. «Охоте за ошибками» принял участие 701 исследователь. Они прислали 1,3 тыс. полезных отчетов, соответствующих правилам программы, что на 30% превышает результаты 2024 г. Эти отчеты — вклад сообщества в безопасность пользователей: технические знания исследователей и детальные описания уязвимостей помогают «Яндексу» дополнительно усиливать защиту сервисов. «Яндекс» выплатил награды за все уникальные и впервые найденные уязвимости. Остальные отчеты описывали ошибки, уже выявленные другими исследователями или командой безопасности «Яндекса».
За 2025 г. 21 участник программы заработал свыше 1 млн руб. Самый успешный участник прислал 59 отчетов об уникальных ошибках и заработал 3,6 млн руб. Второе и третье места заняли исследователи, получившие 3,2 млн и 3,1 млн руб. Самые крупные вознаграждения за одну найденную уязвимость составили 2 млн, 1,5 млн и 1,2 млн руб. Чаще всего багхантеры присылали отчеты об XSS-уязвимостях, связанных с риском выполнения вредоносного кода на сайтах.
«Яндекс» постоянно развивает программу и актуализирует ее условия. В прошлом году компания вдвое увеличила максимальный размер вознаграждения: теперь за сообщение о критической уязвимости в «Яндекс Почте», «Яндекс ID» или Yandex Cloud «белые хакеры» могут получить до 3 млн руб.
В 2025 г. в программе появилось отдельное направление, связанное с генеративными нейросетями. Исследователи, которым удастся отыскать технические уязвимости в семействе ИИ-моделей Alice AI и сопутствующей инфраструктуре, могут получить до 1 млн руб.
Яндекс регулярно проводит внешние проверки безопасности. Программа «Охота за ошибками» — один из таких инструментов, который позволяет получить дополнительную независимую оценку уровня безопасности сервисов и надежности инфраструктуры со стороны сообщества. Помимо этого, «Яндекс» постоянно проводит внешние аудиты для проверки устойчивости инфраструктуры к атакам и безопасности сервисов.
В 2026 г. «Яндекс» выделит 100 млн руб. на вознаграждения участников «Охоты за ошибками».
Короткая ссылка
