В 2023 году «Яндекс» выплатил этичным хакерам 70 млн рублей — почти вдвое больше, чем годом ранее
В 2023 г. «Яндекс» выплатил 70 млн руб. участникам программы «Охота за ошибками». Она посвящена поиску уязвимостей в сервисах и инфраструктуре компании. По сравнению с прошлым годом общая сумма выплат увеличилась почти вдвое. Это связано с запуском конкурсов по различным направлениям «Охоты» с повышенными выплатами, увеличением наград и ростом числа участников программы. В 2022 г. «Яндекс» выплатил исследователям около 40 млн руб.
В 2023 г. «Яндекс» начал выплачивать повышенные вознаграждения за найденные уязвимости, а также провёл несколько конкурсов по поиску конкретных типов ошибок. При участии в конкурсах награды могут увеличиваться в 10 раз по сравнению с обычными выплатами.
Конкурсы стали большой частью «Охоты за ошибками» — они помогают кратно увеличить количество отчётов и сфокусировать внимание охотников на наиболее важных для Яндекса направлениях безопасности. Например, один из конкурсов был посвящён защите пользовательских данных, задачей «охотников» стал поиск ошибок и уязвимостей, которые могут привести к раскрытию чувствительной информации.
В 2024 г. компания выделит не менее 100 млн руб. на вознаграждение этичных хакеров. Развитие программы «Охота за ошибками» — это возможность привлечь больше внешних специалистов, чтобы дополнительно усилить защиту сервисов компании, оперативно исправляя найденные ошибки и уязвимости.
«Мы заинтересованы в росте аудитории «Охоты за ошибками», так как это важная часть проверки наших сервисов на прочность. Сообщество багхантеров состоит из сильных разработчиков, исследователей, специалистов по безопасности. Для них поиск уязвимостей — это возможность использовать свои навыки и усилить безопасность сервисов, которыми они пользуются ежедневно. Для нас — дополнительная помощь в усилении защиты наших сервисов и пользовательских данных, а также возможность оценить безопасность сервисов независимым взглядом», — сказал тимлид продуктовой безопасности «Яндекса» Иван Чалыкин.
В 2023 г. в «Охоте за ошибками» поучаствовали 528 исследователей. Они прислали 736 отчётов об ошибках, которые соответствовали правилам программы. За 378 уникальных и впервые выявленных находок исследователи получили выплаты. Все критичные ошибки были исправлены.
Самые крупные выплаты 2023 г. — 12 млн, 7,5 млн и 3,7 млн руб. — пришлись на конкурс по поиску критичных уязвимостей. За весь год наибольшую сумму в 17 млн руб. заработал этичный хакер, приславший 41 уникальный отчёт. Второе и третье место заняли охотники с общей суммой выплат в 12 и 4,3 млн руб.
В 2023 г. самыми популярными стали отчёты в категории XSS — для их поиска был проведён отдельный конкурс. Подобные уязвимости могут использовать злоумышленники, чтобы обходить политики безопасности сайтов и вставлять вредоносный код на веб-страницы.
«Охота за ошибками» — постоянная программа «Яндекса» по премированию этичных хакеров — тех, кто разбирается в компьютерной безопасности, находит уязвимости в продуктах ИТ-компаний и сообщает им об этом за награду. В 2012 г. «Яндекс» первым в России запустил подобную программу. Списки ошибок и уязвимостей для «Охоты», а также размеры денежных наград за их обнаружение можно посмотреть на сайте программы.