20 сентября 2022 года «Яндекс» сообщил, что мотивационной программе выплат белым хакерам «Охота за ошибками» исполняется 10 лет. В честь этого события «Яндекс» до 20 октября увеличивает выплаты за найденные уязвимости в сервисах компании в 10 раз. Если, например, сейчас за критичный баг в умных устройствах с «Алисой» указана выплата 300 тыс. рублей, то с 20 сентября до 20 октября она составит «х10», то есть 3 млн. рублей. Максимальная выплата за уязвимость с выполнением произвольного кода в программном обеспечении или сервисах «Яндекса» в этот период может составить до 7,5 млн. рублей.
"«Охота за ошибками» — постоянная программа «Яндекса» по премированию этичных хакеров, то есть тех, кто разбирается в компьютерной безопасности, находит уязвимости в продуктах IT-компаний и сообщает им об этом за награду. В 2012 году «Яндекс» первым в России запустил подобную программу. Она помогает укреплять защиту сервисов: с каждым годом охотники находят всё меньше ошибок и сделать это становится всё сложнее. Такая охота — это стандартная практика для IT-компаний, которая позволяет им обнаруживать ошибки в постоянно обновляющихся продуктах", — рассказали Хабру в «Яндексе».
С 2012 года в программе поучаствовало около 4,5 тыс. исследователей и белых хакеров, которые сообщили о более чем 16 тыс. найденных технических уязвимостях в веб-сервисах или мобильных/десктопных приложениях, инфраструктуре и некоторых умных устройствах «Яндекса». Компания не раскрыла, сколько выплатила всего денег белым хакерам за 10 лет работы программы.
Конкурс в честь десятилетия программы «Охота за ошибками» будет действовать до 20 октября, после этого программа будет работать по стандартным условиям.
Согласно правилам программы, «Яндекс» вручает награды только за обнаружение новых уязвимостей. В течение 90 дней после отправки сообщения об ошибке о ней нельзя никому и нигде рассказывать. «Яндекс» выплачивает вознаграждения на карту «Сбера» или других банков, согласно заполненной анкете от участника программы.
Участвовать в «Охоте за ошибками» могут пользователи в возрасте 14 лет и старше. При этом те, кто младше 18, могут принять участие только с письменного согласия родителей.
Для зарубежных белых хакеров «Яндекс» по программе «Охота за ошибками» предлагает выплаты в долларах. Например, до $10 тыс. за RCE в инфраструктуре, веб-сервисах, приложениях «Яндекса». Компания пояснила, что для иностранных белых хакеров также будет действовать повышенный коэффициент по выплатам до 20 октября.
