
Оглавление
Данные об уязвимостях в программном обеспечении или инфраструктуре — важнейшая информация. Она может быть использована как для усиления защиты систем, так и для проведения кибератак.
Существует несколько рынков продажи сведений об уязвимостях. Легальный основан на поиске недостатков безопасности с их последующей передачей на багбаунти-площадки либо с ответственным раскрытием информации о них. Нелегальный связан с продажей данных об уязвимостях на теневых площадках. Оба рынка строятся вокруг спроса на эксклюзивную техническую информацию, но различаются правилами, мотивацией участников и последствиями использования найденных слабостей систем.
В этой статье мы расскажем про устройство этих рынков: их общие черты, ключевые различия и влияние на сферу кибербезопасности.
С полной версией исследования можно ознакомиться на нашем сайте.
Уязвимости остаются одной из распространенных киберугроз (35% от доли успешных атак за 2025 год на организации по всему миру). Киберпреступники могут использовать их для развития своей атаки. Часто такие ошибки возникают из-за человеческого фактора на этапе разработки или внедрения ИТ-решений.
Ключевые параметры классификации уязвимостей
Платформа. Уязвимые ПО или системы, например ОС (настольные и мобильные), прикладные программы (системные и пользовательские), а также веб-приложения и иное ПО.
Используемая слабость системы. Уязвимости разделяются на типы (например, согласно стандарту CWE).
Воздействие. Возможные негативные последствия эксплуатации найденной ошибки могут варьироваться от незначительной проблемы до выполнения произвольного кода, повышения привилегий и обхода средств защиты.
Критичность. Для определения серьезности уязвимости используют качественную оценку (информационный, низкий, средний, высокий, критический уровень) или числовую (например, по десятибалльной шкале CVSS).
Новизна. Для уязвимости указывают дату первого обнаружения. Самыми редкими и, как следствие, ценными являются ранее неизвестные уязвимости, или уязвимости нулевого дня (0-day).
Специалистам по кибербезопасности и компаниям информация об уязвимостях позволяет своевременно выявлять слабые места, устранять их и повышать устойчивость систем к угрозам. Эта же самая информация представляет ценность и для злоумышленников, поскольку дает возможность получить несанкционированный доступ, нарушить работу сервисов или похитить данные. Таким образом, уязвимость становится объектом интереса для разных сторон, а ее ценность определяется потенциальными последствиями использования.
По нашей информации, основными последствиями являются нарушения конфиденциальности (28%) и основной деятельности компаний (13%), а также использование их ресурсов для реализации последующих атак через цепочку поставок (12%).

По мере усложнения ИТ-систем растет и количество слабых мест в них, что приводит к формированию целого рынка уязвимостей, который развивается в двух параллельных направлениях — легальном и теневом.
Легальные каналы монетизации уязвимостей
Существует несколько полностью легальных каналов продажи данных об обнаруживаемых уязвимостях. Например, функционирующий уже более 20 лет проект Zero Day Initiative от Trend Micro, скупающий данные о 0-day-уязвимостях для последующего ответственного разглашения затронутой компании, а также для превентивного улучшения собственных систем защиты. Самым масштабным каналом является багбаунти.
Багбаунти
Багбаунти (bug bounty) — программа, в рамках которой компании выплачивают денежные вознаграждения исследователям безопасности за обнаруженные в системах, продуктах или сервисах уязвимости.
Программы багбаунти позволяют оценивать защищенность практически любых ИТ-решений. Тем не менее основной фокус заметно смещается на внешнюю поверхность атаки: веб-приложения, API, корпоративную инфраструктуру.
Обычно речь идет о типовых недостатках безопасности (например, ошибках контроля доступа, конфигурации, XSS), которые можно обнаружить применяя повторяемые техники тактик «Разведка» и «Первоначальный доступ» матрицы MITRE ATT&CK. Обуславливается это низким порогом входа в веб-безопасность (96% багхантеров работают с веб-приложениями, а с ОС и ПО — лишь 38%) в сочетании с тем, что внешние веб-ресурсы компании представляют собой первичную цель для исследования. Остальные этапы атаки (закрепление в системе, перемещение внутри периметра, обход защитных механизмов или воздействие на инфраструктуру) и обнаруженные в рамках их реализации уязвимости тоже встречаются в отчетах, но их количество существенно ниже. Тенденция подтверждается статистикой одной из популярных багбаунти-площадок: в 2025 году первое место в топе обнаруженных уязвимостей заняла XSS.

На площадке Standoff Bug Bounty традиционный поиск атомарных уязвимостей дополняется форматом кибериспытаний. Исследователю, чтобы получить вознаграждение, нужно реализовать полноценный сценарий атаки — от получения первичного доступа до реализации недопустимого события. Такой подход позволяет участвующим компаниям выйти за рамки точечного исправления багов и увидеть полную цепочку действий атакующего. Это дает возможность определить реальные векторы реализации недопустимых событий и расставить приоритеты в защите.
Существуют различные подходы к организации программ багбаунти. Компании могут запускать программы самостоятельно и напрямую общаться с исследователями безопасности, обрабатывая все приходящие отчеты и осуществляя выплаты, либо могут воспользоваться услугами багбаунти-платформ (Bugcrowd, HackerOne, Standoff Bug Bounty и другими), которые берут на себя эти задачи как частично, так и полностью.
Сами программы бывают двух типов:
открытые (любой участник сообщества может попробовать свои силы в нахождении уязвимостей),
закрытые (анализ защищенности доступен только определенному кругу багхантеров).
(С детальным описанием устройства багбаунти и реализацией на примере площадки Standoff Bug Bounty можно ознакомиться в недавнем исследовании.)
Что получает компания
Программы багбаунти являются одним из инструментов защиты продуктов и внешнего периметра компании и имеют ряд преимуществ:
оплачиваются только найденные уязвимости, а не затраченное на их поиск время, что является более экономным вариантом по сравнению с тестированием на проникновение;
анализ безопасности осуществляется на постоянной основе, а не разово;
в исследованиях участвует большое количество белых хакеров, что позволяет всесторонне протестировать защищенность благодаря разным навыкам, опыту и подходам;
разглашение информации контролируется самой компанией;
возможные неудобства (триаж, то есть оценка отчетов, общение с исследователями, проведение платежей) зачастую берут на себя багбаунти-платформы;
компании получают готовые отчеты о найденных уязвимостях либо отчеты, в которых описаны полноценные цепочки атак (при участии в кибериспытаниях).
Кроме того, стоимость багбаунти невелика по сравнению с другими классическими решениями в сфере кибербезопасности.
На российских площадках ежегодная подписка стоит 1 млн ₽, на иностранных — 15 000–50 000 $, а дополнительная комиссия при выплате вознаграждений составляет около 20%.
Все эти факторы делают программы багхантинга эффективным решением для закрытия конкретных потребностей компании в вопросе выстраивания системы информационной безопасности. Это подтверждается статистикой платформы Standoff Bug Bounty, на которой с момента запуска было размещено более 400 программ багбаунти и более 100 программ кибериспытаний. Дополнительно, по нашим данным, 80% опрошенных вовлеченных компаний отметили выявление уязвимостей, которые не были найдены другими способами. Аналогичное число опрошенных подсветили формирование более ясного представления о поверхности атаки. Чем больше у компании сервисов, устройств, облачных ресурсов, внешних интеграций и пользовательских точек доступа, тем больше у нее потенциально уязвимых мест. Неучтенные системы, устаревшее ПО или открытые сервисы могут стать точкой входа для злоумышленников.
Что получает багхантер
Со стороны исследователей безопасности программы багбаунти являются уникальным и одним из немногих полностью легальных способов монетизировать найденные уязвимости, однако это не единственное преимущество багхантинга.
По нашим данным, 92% исследователей называют своей основной мотивацией финансовое вознаграждение. Однако более половины из них также преследуют и нематериальные цели: развитие навыков (76%), укрепление репутации в сообществе (54%), возможность сделать мир безопаснее и карьерный рост (по 50%). Таким образом, участие в подобных программах позволяет не только зарабатывать, но и учиться в профессиональной среде, а также продвигаться по социальной лестнице.
Несмотря на описанные выше преимущества, у платформ багбаунти есть свои ограничения:
не все компании участвуют в подобных программах;
область тестирования и разрешенные методы ограничены условиями конкретной программы;
возможны разногласия при оценке уровня критичности или уникальности выявленной уязвимости;
существуют ограничения на разглашение найденной информации;
между обнаружением уязвимости и получением выплаты часто проходит много времени.
Даже с учетом описанных ограничений, устанавливаемых компаниями, багбаунти формирует среду, в которой поиск уязвимостей становится частью легального взаимодействия между исследователями безопасности и компаниями. Это способствует развитию профессионального сообщества и делает процесс поиска уязвимостей более структурированным и контролируемым, хотя интересы участников не всегда совпадают полностью.
Ценообразование
Суммы вознаграждений заранее известны исследователям безопасности: при запуске программы компания прописывает размеры выплат. Они зависят от нескольких факторов: места обнаружения уязвимости (в какой системе или продукте), ее уровня опасности (критичности) и типа. Дополнительно организация может увеличить сумму вознаграждения, если исследователь продемонстрирует, что найденная уязвимость (или цепочка уязвимостей) способна привести к реализации недопустимого события. А на кибериспытаниях, где основное внимание уделяется именно недопустимым событиям и цепочкам уязвимостей, выплаты еще выше.

*90-й процентиль — значение, ниже которого находится 90% всех данных, что позволяет отсеивать аномально высокие показатели

Аналогичное распределение стоимости наблюдается и при анализе способов реализации атаки. В данном случае есть корреляция со сложностью используемой слабости системы и возможными последствиями. Так, нарушение контроля доступа является лидером по максимальной сумме выплат (2 400 000 ₽), но медианная стоимость много меньше из-за большого разброса в последствиях эксплуатации.
Кроме того, выделяется сбой в криптографической защите — здесь наибольшая медианная стоимость при сравнительно небольшой максимальной выплате. Это связано с тем, что подобные уязвимости считаются стабильно опасными. Компании готовы регулярно платить за них больше, поскольку они напрямую связаны с рисками компрометации данных, обхода авторизации или получения доступа к системе.

С помощью багбаунти компании получают возможность оперативно устранять проблемы, а исследователи — легальный и прозрачный способ монетизировать свои навыки.
Серый рынок монетизации уязвимостей
Продажа информации об уязвимостях третьим сторонам формирует сегмент рынка, находящийся между багбаунти и теневыми площадками. Этот сегмент часто вызывает споры о границах допустимого использования данных об уязвимостях. В такой модели исследователь передает сведения о найденной уязвимости не разработчику для исправления, а посреднику, брокеру или специализированной компании, которые затем используют их в собственных целях или перепродают. Подобные сделки остаются в правовом поле, однако конечное использование уязвимостей часто остается непрозрачным. По этой причине такой рынок сочетает черты как легального обращения с данными об уязвимостях, так и теневых практик их коммерциализации.
Поиск уязвимостей с ответственным раскрытием
Наиболее близким к легальной сфере является анализ защищенности с последующим ответственным разглашением информации о найденных уязвимостях, когда исследователи безопасности в частном порядке уведомляют организации об обнаруженных недостатках. Этот подход не гарантирует получение каких бы то ни было вознаграждений, но несет за собой риск судебного преследования исследователя.Брокеры уязвимостей
Другим каналом монетизации уязвимостей являются компании-брокеры. В отличие от программы ZDI, в рамках которой информация о найденных уязвимостях передается разработчикам исходного продукта, в котором была обнаружена ошибка, брокеры перепродают сведения государственным и коммерческим организациям.Такие компании покупают данные об уязвимостях, отличных от тех, которые обнаруживаются в рамках багбаунти. Например, брокера Operation Zero интересуют только подтвержденные 0-day-эксплойты, причем дополнительный приоритет отдается мобильным операционным системам и их программам, а также средствам виртуализации. Стоимость одного такого эксплойта может доходить до 2,5 млн $ и 1 млн $ соответственно. Важно отметить, что такие расценки являются верхней границей, реальные коммерческие предложения могут быть намного ниже. К примеру, другой брокер — Advance Security Solutions — за все время работы выплатил лишь 40 млн $, в то время как максимальная сумма за одну уязвимость у них достигает 20 млн $.
Нелегальный рынок монетизации уязвимостей
Большая часть активности по теневому обращению информации об уязвимостях и последствиях их эксплуатации размещается на дарквеб-форумах и в группах, где участники обсуждают детали и совершают сделки. Существуют полноценные каналы и магазины, в которых владельцы в одностороннем порядке выставляют лоты на продажу.
Теневые форумы
Теневые форумы — это онлайн-платформы, позволяющие анонимным пользователям обмениваться различной информацией и продавать нелегальные товары или услуги. Основной целью многих участников таких сообществ является обогащение, что напрямую влияет на типы востребованных товаров, однако также встречается бесплатное распространение аналогичной информации.
Злоумышленники, не ограниченные правовыми и организационными рамками, могут использовать любые удобные и эффективные для них методы проведения атак. Если в багбаунти основное внимание часто уделяется широкому спектру уязвимостей, включая их менее критичные вариации, то на теневых рынках интерес сосредоточен преимущественно на 0-day-уязвимостях и готовых доступах к системам.
По сути, продажа доступов к инфраструктуре является результатом успешной эксплуатации уязвимостей, не подходящих для самостоятельной продажи. Получение первоначального доступа к системам компании часто становится возможным именно из-за наличия ошибок в программном обеспечении, в механизмах аутентификации или конфигурациях. После компрометации такой доступ превращается в отдельный товар, который может перепродаваться другим злоумышленникам для дальнейших атак. По нашим данным, подобные предложения составляют бо́льшую часть теневого рынка сервисов — на них приходится 61% сообщений.

Уникальные уязвимости и новые подходы к их эксплуатации формируют отдельный рынок. Особенно ценятся новые или малоизвестные методы компрометации, способные дать злоумышленникам существенное преимущество. На этом рынке также наблюдается активный переход к сервисной модели. Уже сейчас примерно 7% объявлений, продвигающих сервисные услуги, связаны с покупкой или продажей услуг по эксплуатации уязвимостей в программном обеспечении. При этом в 40% объявлений фигурируют 0-day-уязвимости, что дополнительно подтверждает их популярность.

Дополнительные особенности устройства рынка вытекают из его анонимности. Так, создана целая инфраструктура доверия, призванная сделать торговлю более безопасной для злоумышленников.

Иногда нелегальный рынок перенимает практики из легальной сферы, используя в своих продуктах схожие с багбаунти подходы. Например, один из теневых маркетплейсов по продаже данных банковских карт среди своих преимуществ указывает наличие багбаунти-программы, которая призвана повысить уровень безопасности сервиса и, как следствие, доверия клиентов.

Любая публикация данных об организации на теневых ресурсах является поводом для настороженности, так как подобная информация может быть использована злоумышленниками для подготовки и проведения атак. Даже частичные сведения об устройстве инфраструктуры, используемом ПО, точках входа или способах обхода защиты помогают сократить время на поиск уязвимых мест и повысить вероятность успешной атаки. Публикация актуальных доступов к инфраструктуре компании или уязвимостей в ее ПО является прямой угрозой, так как способна привести к компрометации систем, утечке данных, нарушению работы сервисов и дальнейшему распространению вредоносной активности.
Результатом даже мелкомасштабной атаки могут стать репутационные издержки и значительные финансовые потери, связанные с приостановкой бизнес-процессов, реализацией недопустимых событий, штрафами от регуляторных органов, расходами на привлечение профильных специалистов либо на выплату выкупа для скорейшего восстановления инфраструктуры.
С этими проблемами можно бороться с помощью специализированных средств защиты, например систем threat intelligence, постоянно отслеживающих ситуацию в теневой сегменте интернета и предупреждающих компании при появлении релевантной информации.
Участники нелегальных рынков, в свою очередь, преследуют финансовую выгоду, чему способствует фактор противозаконности, дающий полную свободу действий участникам и многократно повышающий стоимость выплат. Вместе с тем появляются и существенные риски: совершение сделок, даже с учетом выстроенной инфраструктуры доверия, может привести к обману и потере денег и ресурсов, а постоянная работа правоохранительных органов по выявлению злоумышленников грозит многолетним лишением свободы.
В 2022 году группа злоумышленников смогла похитить 7000 подарочных сертификатов «Детского мира», после чего одного из участников приговорили к пяти годам колонии и штрафу в полмиллиона рублей.
Ценообразование
Сстоимость каждой отдельной уязвимости не является строго регламентированной, а в половине случаев (47%) даже не указывается в сообщении, однако основной ценообразующий фактор — эксплуатационная ценность — остается неизменным. Именно поэтому 49% и 11% от всех объявлений нацелены на 0-day- и 1-day-уязвимости соответственно. При этом в 38% сообщений пишется не о продаже, а о покупке данных о конкретной уязвимости.

Большая часть объявлений о продаже сведений об уязвимостях касается тех, которые связаны с удаленным выполнением кода (RCE) и повышением привилегий (LPE), на них приходится 43% и 25% соответственно. Это объясняется тем, что такие недостатки безопасности имеют высокую практическую ценность для злоумышленников: RCE-уязвимости позволяют выполнять произвольный код в целевой системе и получать первоначальный контроль над устройством или сервером, а LPE дают возможность расширить уже полученный доступ и перейти к полному контролю над системой.

Наиболее частыми целями атак и эксплуатации уязвимостей становятся интернет-сервисы (36%) и корпоративное программное обеспечение (33%). Часто информация об уязвимостях в интернет-сервисах не уникальна и сопоставима с той, что обнаруживается на платформах багхантинга. Корпоративные системы представляют более высокую ценность, потому что их компрометация открывает доступ к внутренней инфраструктуре, данным сотрудников и клиентов, а также дает возможность для дальнейшего распространения атаки внутри сети организации.

Помимо информации о критических уязвимостях, на теневых форумах также продаются результаты эксплуатации ошибок на внешних периметрах компаний — первичные доступы. В этом случае в 75% объявлений указана точная цена либо минимальная, а доля заявок на покупку конкретных доступов составляет лишь 30% от всех сообщений.
Стоимость доступа к инфраструктуре компаний зависит в первую очередь от размера компании и ее прибыли. Большая часть наблюдаемых объявлений о продаже подобных товаров выбирает целью компании с доходом от 1 млн $, тогда как доступ к организациям меньшего масштаба часто продают оптом, в результате чего они не входят в эту статистику.
Большая часть цен попадает в коридор 100–10 000 $, тогда как ущерб от успешной атаки в результате использования подобной информации достигает миллионов долларов.
Более половины объявлений о первичных доступах нацелены на командные оболочки (shell), VPN, RDP и аналогичные программы для удаленного доступа. Так, командные оболочки, являясь классическим результатом эксплуатации уязвимостей на внешнем периметре компании, распространены больше других методов подключения, но ценятся меньше них, так как создают аномальный трафик в сети. В это же время VPN, RDP и ПО для удаленного доступа хоть и распространены меньше, но стоят в разы дороже, поскольку предоставляют легитимный канал доступа во внутреннюю инфраструктуру организации.

Помимо метода подключения, на итоговую стоимость доступа также влияет и отрасль целевой компании. Например, стоимость доступа к конкретному госучреждению может достигать 1,5 млн $, а к целевой финансовой организации — 1 млн $.

Нелегальный рынок уязвимостей представляет собой искривленное отражение легального сектора безопасности. Здесь типичные ошибки превращаются в первичные доступы, а критические уязвимости — в инструменты для реализации последующих этапов кибератаки. Такое разделение на брокеров первичного доступа и ВПО как услуги сокращает время подготовки кибератаки и повышает ее эффективность, формируя зрелую и высокоорганизованную экосистему.
В то же время рыночные условия диктуют свои правила: высокие цены, актуальные лишь для востребованных товаров, создают для злоумышленников риск невозможности монетизировать найденную уязвимость. Кроме того, нелегальный статус деятельности добавляет вероятность деанонимизации и уголовного преследования.
В этих условиях внедрение систем класса threat intelligence и постоянный мониторинг теневых площадок — важные шаги стратегии защиты компании.
(О сравнении рынков монетизации читайте в полной версии исследования.)
Интересно
С учетом того, что в 2025 году средний убыток компании от утечки данных составил 4,4 млн $, особенно показательным выглядит замечание пользователя теневого форума, что участие в багбаунти обошлось бы целевой организации намного дешевле, чем суммарный ущерб от кибератаки. Например, на Standoff Bug Bounty за 2025 год медианная стоимость уязвимости критического уровня была 200 000 ₽, высокого — 50 000 ₽, среднего — 17 000 ₽, а низкого — 5 000 ₽.

Итоги
Информация об уязвимости остается двойственным активом: ее ценность определяется не только техническими характеристиками, но и контекстом использования, который задается рынком. Причем легальный и нелегальный сегменты работают в частично пересекающихся плоскостях, но, как правило, ориентируются на разные уязвимости.
Ценность информации об уязвимостях зависит от контекста: программы багбаунти эффективно защищают внешний периметр за счет поиска типовых багов, тогда как теневой рынок и брокеры фокусируются на критических 0-day уязвимостях в ПО и ОС. Для выстраивания результативной кибербезопасности компаниям необходима целая экосистема решений, сочетающая багбаунти, кибериспытания и платформы threat intelligence. Несмотря на более высокие заработки на нелегальном рынке, белые хакеры выбирают легальные программы из-за финансовой безопасности и отсутствия юридических рисков. В итоге инвестиции в превентивный поиск уязвимостей позволяют организациям предсказуемо снизить финансовые риски и избежать гораздо более масштабного ущерба от реальных кибератак.
Рекомендации
В условиях усложнения инфраструктуры и развития рынка уязвимостей компаниям важно сочетать технические, организационные и аналитические меры защиты.
Использовать программы багбаунти как дополнительный инструмент непрерывного поиска уязвимостей и расширения возможностей тестирования безопасности. Привлечение внешних исследователей позволяет находить уязвимости, которые могут оставаться незамеченными при внутренних проверках или автоматизированном анализе. Особенно эффективно такие программы работают для внешней инфраструктуры.
Участвовать в кибериспытаниях для моделирования индивидуальных цепочек атак и проверки реальной защищенности от реализации недопустимых событий.
Интегрировать решения класса threat intelligence для мониторинга актуальных угроз, утечек данных, компрометации доступов и информации о релевантных уязвимостях на теневых площадках. Это позволит выявлять потенциальные риски, отслеживать интерес злоумышленников к инфраструктуре компании и своевременно реагировать на новые угрозы.
Придерживаться методологии результативной кибербезопасности, повышая уровень киберустойчивости компании, и фокусироваться на проактивной защите. Вместо реагирования на уже произошедшие инциденты важно регулярно анализировать поверхность атаки, выявлять потенциальные точки компрометации и устранять уязвимости до их эксплуатации злоумышленниками. Это снижает вероятность успешной атаки и уменьшает возможные последствия инцидентов.

Макар Куманейкин
Младший аналитик группы международной аналитики PT Cyber Analytics

Алиса Кулишенко
Руководитель группы международной аналитики PT Cyber Analytics
