В 2023 году Яндекс выплатил этичным хакерам 70 млн рублей
В 2023 году Яндекс выплатил 70 млн рублей участникам программы "Охота за ошибками". Она посвящена поиску уязвимостей в сервисах и инфраструктуре компании. По сравнению с прошлым годом общая сумма выплат увеличилась почти вдвое. Это связано с запуском конкурсов по различным направлениям "Охоты" с повышенными выплатами, увеличением наград и ростом числа участников программы. В 2022 году Яндекс выплатил исследователям около 40 млн рублей.
В 2023 году Яндекс начал выплачивать повышенные вознаграждения за найденные уязвимости, а также провёл несколько конкурсов по поиску конкретных типов ошибок. При участии в конкурсах награды могут увеличиваться в 10 раз по сравнению с обычными выплатами.
Конкурсы стали большой частью "Охоты за ошибками" — они помогают кратно увеличить количество отчётов и сфокусировать внимание охотников на наиболее важных для Яндекса направлениях безопасности. Например, один из конкурсов был посвящён защите пользовательских данных, задачей "охотников" стал поиск ошибок и уязвимостей, которые могут привести к раскрытию чувствительной информации.
В 2024 году компания выделит не менее 100 млн рублей на вознаграждение этичных хакеров. Развитие программы "Охота за ошибками" — это возможность привлечь больше внешних специалистов, чтобы дополнительно усилить защиту сервисов компании, оперативно исправляя найденные ошибки и уязвимости.
В 2023 году в "Охоте за ошибками" поучаствовали 528 исследователей. Они прислали 736 отчётов об ошибках, которые соответствовали правилам программы. За 378 уникальных и впервые выявленных находок исследователи получили выплаты. Все критичные ошибки были исправлены.
Самые крупные выплаты 2023 года — 12 млн, 7,5 млн и 3,7 млн рублей — пришлись на конкурс по поиску критичных уязвимостей. За весь год наибольшую сумму в 17 млн рублей заработал этичный хакер, приславший 41 уникальный отчёт. Второе и третье место заняли охотники с общей суммой выплат в 12 и 4,3 млн рублей.
В 2023 году самыми популярными стали отчёты в категории XSS — для их поиска был проведён отдельный конкурс. Подобные уязвимости могут использовать злоумышленники, чтобы обходить политики безопасности сайтов и вставлять вредоносный код на веб-страницы.
"Охота за ошибками" — постоянная программа Яндекса по премированию этичных хакеров — тех, кто разбирается в компьютерной безопасности, находит уязвимости в продуктах ИT-компаний и сообщает им об этом за награду. В 2012 году Яндекс первым в России запустил подобную программу.
"Мы заинтересованы в росте аудитории "Охоты за ошибками", так как это важная часть проверки наших сервисов на прочность. Сообщество багхантеров состоит из сильных разработчиков, исследователей, специалистов по безопасности. Для них поиск уязвимостей — это возможность использовать свои навыки и усилить безопасность сервисов, которыми они пользуются ежедневно. Для нас — дополнительная помощь в усилении защиты наших сервисов и пользовательских данных, а также возможность оценить безопасность сервисов независимым взглядом", — говорит тимлид продуктовой безопасности Яндекса Иван Чалыкин.