«Яндекс» подвёл итоги программы «Охота за ошибками» 2024. Компания выплатила 50,8 млн рублей специалистам по ИБ за уязвимости, включая 5,9 млн рублей одному белому хакеру за 28 отчётов. В 2025 году «Яндекс» выделит 100 млн рублей на вознаграждения участников «Охоты за ошибками».
В 2024 году в багбаунти от «Яндекса» участвовали 749 исследователей (на 40% больше, чем в 2023 году).
«Всего „охотники“ прислали 980 отчётов, которые соответствовали правилам программы — на треть больше, чем годом ранее. Они получили награды за 523 отчёта. В остальных отчётах были указаны уязвимости и ошибки, которые уже выявили другие исследователи или команда безопасности Яндекса. Самый успешный участник прислал 28 отчётов об уникальных ошибках и заработал 5,9 млн рублей. Второе и третье место заняли „охотники“ с выплатами в 3,6 и 3 млн рублей. Все критичные ошибки были исправлены», — сообщили в «Яндексе».
Зал славы «Охота за ошибками» 2024:
Программа «Яндекса» по премированию этичных хакеров «Охота за ошибками» стартовала в 2012 году и позволяет компании получить дополнительную независимую оценку уровня безопасности своих сервисов и приложений. Это один из подходов «Яндекса» для усиления защиты и надёжности инфраструктуры. Помимо этого, команда безопасности «Яндекса» проводит внешние аудиты для проверки устойчивости инфраструктуры к атакам и безопасности сервисов.
«Яндекс» отдельно пояснил в правилах, что не выплачивает вознаграждения за определённый список различных ситуаций и векторов атак, а также за некритичные уязвимости или некорректные методы обнаружения багов. Например, за физические атаки на собственность «Яндекса» или его дата-центры, использование сканеров безопасности, применение социальной инженерии на сотрудниках или подрядчиках «Яндекса», а также атаки, требующие физического доступа к устройству пользователя.
Источник: habr.com
