Компания «Яндекс» заявила, что в 2023 году выплатила ₽70 млн участникам программы «Охота за ошибками». Эта программа посвящёна поиску уязвимостей в сервисах и инфраструктуре компании. По сравнению с 2022 годом общая сумма выплат увеличилась почти вдвое. Это связано с запуском конкурсов по различным направлениям «Охоты» с повышенными выплатами, увеличением наград и ростом числа участников программы. В 2022 году Яндекс выплатил исследователям около ₽40 млн, рассказали информационной службе Хабра в пресс‑службе «Яндекса».
В 2023 году Яндекс начал выплачивать повышенные вознаграждения за найденные уязвимости и провёл несколько конкурсов по поиску конкретных типов ошибок. При участии в конкурсах награды могут увеличиваться в 10 раз по сравнению с обычными выплатами. В 2024 году компания выделит ₽100 млн на вознаграждение этичных хакеров.
За озвученный период в «Охоте за ошибками» поучаствовали 528 исследователей. Они прислали 736 отчётов об ошибках, которые соответствовали правилам программы. За 378 уникальных и впервые выявленных находок исследователи получили выплаты. Все критичные ошибки были исправлены.
Топ-3 единовременных самых крупных выплат за 2023 года составили ₽12 млн, ₽7,5 млн и ₽3,7 млн. Эти выплаты пришлись на конкурс по поиску критичных уязвимостей. Конкурсы стали большой частью «Охоты за ошибками».
По словам «Яндекса», конкурсы помогают кратно увеличить количество отчётов и сфокусировать внимание охотников на наиболее важных для Яндекса направлениях безопасности, например защите пользовательских данных. В одном из конкурсов задачей «охотников» стал поиск ошибок и уязвимостей, приводящих к раскрытию чувствительной информации. За весь 2023 год наибольшую сумму в ₽17 млн рублей заработал этичный хакер, приславший 41 уникальный отчёт. Второе и третье место заняли охотники с общей суммой выплат в ₽12 и ₽4,3 млн.
Самыми популярными стали отчёты в категории XSS в 2023 году. Для поиска XSS был проведён отдельный конкурс. Уязвимости в этой категории могут использовать злоумышленники, чтобы обходить политики безопасности сайтов и вставлять вредоносный код на веб‑страницы.
