Яндекс увеличил выплаты по программе «Охота за ошибками» до 62 млн рублей в 2025 году

2 часа назад

© Изображение сгенерировано ИИ

В 2025 году программа «Охота за ошибками» Яндекса всерьёз привлекла внимание исследователей информационной безопасности. Компания выплатила 62 млн рублей за 706 уникальных отчётов об уязвимостях – на 30% больше по количеству и на 20% по объёму вознаграждений по сравнению с предыдущим годом.

В программе приняли участие свыше 700 специалистов, направивших в общей сложности 1300 отчётов, соответствующих правилам баг-баунти. Такой рост отражает как расширение географии участников, так и повышение интереса к тестированию безопасности российских цифровых платформ в условиях усиления киберугроз.

Структура вознаграждений и топ-исследователи

По итогам года 21 участник программы заработал более 1 млн рублей. Лидером стал исследователь, приславший 59 отчётов об уникальных уязвимостях и получивший 3,6 млн рублей. Второе и третье места заняли специалисты с вознаграждениями 3,2 млн и 3,1 млн рублей соответственно.

Крупнейшие единовременные выплаты составили:

— 2 млн рублей – за критическую уязвимость в Яндекс Почте;

— 1,5 млн рублей – за ошибку в системе аутентификации Яндекс ID;

— 1,2 млн рублей – за уязвимость в инфраструктуре Yandex Cloud.

Наиболее часто выявляемыми проблемами остались XSS-уязвимости (межсайтовый скриптинг), создающие риски выполнения вредоносного кода в браузерах пользователей.

Новые направления: безопасность генеративных ИИ

В 2025 году программа расширилась за счёт отдельного трека, посвящённого безопасности генеративных нейросетей. Исследователи получили возможность тестировать семейство ИИ-моделей Alice AI и сопутствующую инфраструктуру. Максимальное вознаграждение за критическую уязвимость в этом направлении достигает 1 млн рублей.

Этот шаг соответствует глобальному тренду на усиление защиты ИИ-систем от атак типа:

— инъекций промптов (prompt injection);

— извлечения обучающих данных;

— обхода фильтров безопасности;

— манипуляций с выводом модели.

Эволюция условий программы

Яндекс продолжает совершенствовать условия баг-баунти. В 2025 году максимальный размер вознаграждения за критические уязвимости в ключевых сервисах (Яндекс Почта, Яндекс ID, Yandex Cloud) был удвоен – до 3 млн рублей. Это делает программу одной из наиболее щедрых на российском рынке.

Для поддержки сообщества исследователей компания провела ежегодный митап с участием топ-участников, где специалисты обсудили актуальные векторы атак и обменялись опытом с командой безопасности Яндекса.

Стратегическое значение баг-баунти

Программы вознаграждения за найденные уязвимости давно перестали быть маркетинговым инструментом и превратились в обязательный элемент системы кибербезопасности крупных цифровых платформ. Для Яндекса, как оператора критически важных сервисов (почта, облачные вычисления, государственные сервисы), внешний аудит силами независимых экспертов дополняет внутренние процессы тестирования и снижает риски непредвиденных инцидентов.

В 2026 году компания планирует выделить на программу 100 млн рублей, что подтверждает стратегическую значимость баг-баунти в архитектуре безопасности.

Первопроходец российского рынка

Яндекс запустил первую в России программу «Охота за ошибками» ещё в 2012 году, задолго до того, как подобные инициативы стали стандартом де-факто. Сегодня подобные программы есть у большинства крупных ИТ-компаний и госкорпораций, однако эффективность зависит от прозрачности правил, оперативности обработки отчётов и адекватности вознаграждений.

Опыт Яндекса показывает: системный подход к баг-баунти – не разовая акция, а долгосрочный процесс, требующий постоянной адаптации условий под меняющийся ландшафт угроз и интересы исследовательского сообщества.