«Яндекс» подвёл итоги программы «Охота за ошибками» 2025 и выплатил более 62 млн рублей белым хакерам за уязвимости

«Яндекс» подвёл итоги программы «Охота за ошибками» 2025. Компания за прошлый год выплатила 62 млн рублей специалистам по ИБ за найденные уязвимости, оформленные на сайте программы в виде 706 отчётов (это на 30% отчётов больше, чем в 2024 году).

«В „Охоте за ошибками“ приняли участие свыше 700 исследователей. Они прислали 1,3 тысячи полезных отчётов, соответствующих правилам программы, что на 30% превышает результаты прошлого года. Эти отчёты — вклад сообщества в безопасность пользователей: технические знания исследователей и детальные описания уязвимостей помогают Яндексу дополнительно усиливать защиту сервисов. „Яндекс“ выплатил награды за все уникальные и впервые найденные уязвимости. Остальные отчёты описывали ошибки, уже выявленные другими исследователями или командой безопасности „Яндекса“», — пояснили в компании.

За 2025 год 21 участник программы заработал свыше 1 млн рублей. Самый успешный участник прислал 59 отчётов об уникальных ошибках и заработал 3,6 млн рублей. Второе и третье места заняли исследователи, получившие 3,2 млн и 3,1 млн рублей. Самые крупные вознаграждения за одну найденную уязвимость составили 2 млн, 1,5 млн и 1,2 млн рублей. Чаще всего багхантеры присылали в «Яндекс» отчёты об XSS‑уязвимостях, связанных с риском выполнения вредоносного кода на сайтах.

Зал славы «Охота за ошибками» 2025:

В 2024 году в багбаунти от «Яндекса» участвовали 749 исследователей (на 40% больше, чем в 2023 году). Компания выплатила 50,8 млн рублей специалистам по ИБ за уязвимости, включая 5,9 млн рублей одному белому хакеру за 28 отчётов.

Программа «Яндекса» по премированию этичных хакеров «Охота за ошибками» стартовала в 2012 году и позволяет компании получить дополнительную независимую оценку уровня безопасности своих сервисов и приложений. Это один из подходов «Яндекса» для усиления защиты и надёжности инфраструктуры. Помимо этого, команда безопасности «Яндекса» проводит внешние аудиты для проверки устойчивости инфраструктуры к атакам и безопасности сервисов.

«Яндекс» отдельно пояснил в правилах, что не выплачивает вознаграждения за определённый список различных ситуаций и векторов атак, а также за некритичные уязвимости или некорректные методы обнаружения багов. Например, за физические атаки на собственность «Яндекса» или его дата-центры, использование сканеров безопасности, применение социальной инженерии на сотрудниках или подрядчиках «Яндекса», а также атаки, требующие физического доступа к устройству пользователя.