Яндекс увеличил годовой фонд программы багбаунти до 100 млн рублей
Яндекс увеличит общую сумму выплат в программе "Охота за ошибками" в 2023 году. Компания выделит 100 млн рублей на вознаграждение исследователей, которые ищут уязвимости в её продуктах и инфраструктуре.
Программы типа "багбаунти" помогают постоянно укреплять защиту сервисов и оперативно исправлять найденные белыми хакерами ошибки. В Яндексе особо отметили, что продолжат награждать участников, если общие выплаты превысят 100 млн рублей.
В 2022 году общий размер выплат составил 39,7 млн рублей, самые крупные - 2 млн, 1,2 млн и 1 млн рублей. За год в "Охоте за ошибками" поучаствовало 414 исследователей. Они прислали 905 отчетов, из них 288 были уникальными и соответствовали правилам программы. В остальных случаях были указаны уязвимости и ошибки, которые уже выявили другие исследователи или собственная команда безопасности. Награду получили 277 охотников, первыми приславшие уникальные отчеты. Самый активный участник прислал 64 отчета и получил 43 выплаты. Все найденные ошибки были исправлены.
В 2023 году Яндекс уже выплатил охотникам 35,5 млн рублей - большая часть наград пришлась на январский конкурс с десятикратным повышением выплат за находки в категориях Remote Code Execution и SQL-инъекции. Самые большие награды конкурса - 12 млн, 7,5 млн и 3,7 млн рублей. Размер вознаграждения зависит от критичности уязвимости, простоты её использования и влияния на данные пользователей.
Напомним, что во вторник глава Минцифры Максут Шадаев позитивно оценил работу багбаунти по порталу Госуслуги и отметил, что станет спокоен за защищенность ресурса, если портал устоит при призовом гонораре в размере 100 млн рублей.