«Яндекс» подвёл итоги программы «Охота за ошибками» 2024 и выплатил более 50 млн рублей белым хакерам за уязвимости
«Яндекс» подвёл итоги программы «Охота за ошибками» 2024. Компания выплатила 50,8 млн рублей специалистам по ИБ за уязвимости, включая 5,9 млн рублей одному белому хакеру за 28 отчётов. В 2025 году «Яндекс» выделит 100 млн рублей на вознаграждения участников «Охоты за ошибками».
В 2024 году в багбаунти от «Яндекса» участвовали 749 исследователей (на 40% больше, чем в 2023 году).
«Всего „охотники“ прислали 980 отчётов, которые соответствовали правилам программы — на треть больше, чем годом ранее. Они получили награды за 523 отчёта. В остальных отчётах были указаны уязвимости и ошибки, которые уже выявили другие исследователи или команда безопасности Яндекса. Самый успешный участник прислал 28 отчётов об уникальных ошибках и заработал 5,9 млн рублей. Второе и третье место заняли „охотники“ с выплатами в 3,6 и 3 млн рублей. Все критичные ошибки были исправлены», — сообщили в «Яндексе».
Зал славы «Охота за ошибками» 2024:
Программа «Яндекса» по премированию этичных хакеров «Охота за ошибками» стартовала в 2012 году и позволяет компании получить дополнительную независимую оценку уровня безопасности своих сервисов и приложений. Это один из подходов «Яндекса» для усиления защиты и надёжности инфраструктуры. Помимо этого, команда безопасности «Яндекса» проводит внешние аудиты для проверки устойчивости инфраструктуры к атакам и безопасности сервисов.
«Яндекс» отдельно пояснил в правилах, что не выплачивает вознаграждения за определённый список различных ситуаций и векторов атак, а также за некритичные уязвимости или некорректные методы обнаружения багов. Например, за физические атаки на собственность «Яндекса» или его дата-центры, использование сканеров безопасности, применение социальной инженерии на сотрудниках или подрядчиках «Яндекса», а также атаки, требующие физического доступа к устройству пользователя.
Написать комментарий