- «Яндекс» выплатил более 62 миллионов рублей белым хакерам за найденные уязвимости в 2025 году, что на 30% больше по количеству отчетов, чем в предыдущем году.
- Более 700 исследователей отправили свыше 1300 полезных отчетов в рамках программы «Охота за ошибками».
- 21 участник программы заработал свыше миллиона рублей, крупнейшая награда за одну уязвимость составила 2 миллиона рублей.
Компания «Яндекс» подвела итоги своей программы «Охота за ошибками» за 2025 год. В ходе программы белые хакеры выявили и сообщили о значительном числе уязвимостей в сервисах компании. Всего за год было выплачено свыше 62 миллионов рублей – это рекордная сумма, отражающая растущую активность и вклад сообщества в обеспечение безопасности IT-инфраструктуры «Яндекса».
В рамках программы в 2025 году приняли участие более 700 исследователей, которые предоставили примерно 1300 отчетов о найденных уязвимостях. Это на 30% больше по сравнению с прошлым годом. Отмечается, что выплаты осуществлялись исключительно за уникальные и впервые выявленные ошибки, способствующие усилению защиты сервисов компании. Остальные отчеты либо дублировали уже обнаруженные уязвимости, либо не соответствовали требованиям программы.
Среди участников программы 21 человек заработал миллион рублей и более, а лидер списка опубликовал 59 отчетов об уникальных ошибках, получив за это 3,6 миллиона рублей. Второе и третье места заняли эксперты с вознаграждениями в размере 3,2 и 3,1 миллиона рублей соответственно. Крупнейшие вознаграждения за единичные уязвимости достигали 2, 1,5 и 1,2 миллиона рублей. Наиболее часто обнаруживаемыми были XSS-уязвимости, связанные с возможностью выполнения вредоносного кода на веб-сайтах.
Программа «Охота за ошибками» действует с 2012 года и является одним из ключевых инструментов «Яндекса» по усилению безопасности продуктов. Компания регулярно организует внешние аудиты и оценивает свои сервисы, чтобы оперативно реагировать на потенциальные угрозы.
Важным аспектом программы являются чёткие правила вознаграждений: они не предусмотрены за физические атаки на объекты компании, использование автоматизированных сканеров, социальную инженерию или атаки, требующие физического доступа к устройствам пользователей. Такой подход направлен на стимулирование этичного и профессионального поиска уязвимостей.
Итоги 2025 года демонстрируют не только рост заинтересованности сообщества в защите цифровых сервисов, но и повышающуюся эффективность совместной работы «Яндекса» с этичными хакерами, что в конечном итоге способствует повышению надёжности и безопасности экосистемы компании.
