Яндекс выплатил багхантерам 62 млн рублей за найденные уязвимости
3 мин
23
Яндекс подвёл итоги программы «Охота за ошибками» за 2025 год. Компания выплатила независимым исследователям 62 млн рублей, то есть на 20% больше, чем годом ранее. Исследователи получили вознаграждение за 706 отчётов — их количество выросло на 30% по сравнению с 2024 годом, сообщили изданию «Киберболоид» в пресс-службе Яндекса.
В программе принял участие 701 исследователь. Участники прислали 1,3 тыс. полезных отчётов, которые соответствовали правилам, что на 30% больше показателя прошлого года. Компания выплатила вознаграждение за все уникальные и впервые найденные уязвимости. Остальные отчёты описывали баги, которые уже выявили другие исследователи или команда безопасности Яндекса.
За 2025 год 21 участник программы заработал 1 млн рублей. Самый успешный прислал 59 отчётов об уникальных ошибках. Его вознаграждение составило 3,6 млн рублей. Второе и третье места заняли исследователи с 3,2 млн и 3,1 млн рублей. Максимальные выплаты за одну уязвимость составили 2 млн, 1,5 млн и 1,2 млн рублей соответственно. Чаще всего участники присылали отчёты об XSS-уязвимостях.
Яндекс постоянно развивает программу и обновляет условия. В прошлом году компания вдвое увеличила максимальный размер вознаграждения. Теперь за критическую уязвимость в «Яндекс Почте», «Яндекс ID» или Yandex Cloud можно получить до 3 млн рублей.
В 2025-м в программе появилось отдельное направление по генеративным нейросетям. За технические уязвимости в семействе моделей Alice AI и сопутствующей инфраструктуре можно получить до 1 млн рублей. Для развития сообщества исследователей Яндекс провёл ежегодный митап. Лучших участников пригласили пообщаться с командой безопасности и обменяться опытом.
Программа «Охота за ошибками» позволяет получить независимую оценку безопасности сервисов со стороны сообщества. Кроме этого, Яндекс постоянно проводит внешние аудиты — они проверяют устойчивость инфраструктуры к атакам.
В 2026 году Яндекс планирует выделить 100 млн рублей на вознаграждение для участников. Компания запустила свою программу для исследователей уязвимостей, которая стала первой в России, в 2012 году.
