«Яндекс» увеличил фонд своей программы багбаунти «Охота за ошибками» в 2023 году в 2 раза до 100 млн рублей. В 2022 году компания выплатила белым хакерам 39,7 млн рублей за нахождение уязвимостей и багов в своих сервисах и службах.
С начала этого года «Яндекс» уже выплатил исследователям 35,5 млн в рамках своего багбаунти. Пока что большая часть вознаграждений пришлась на акцию компании с десятикратным повышением выплат за находки в категориях Remote Code Execution и SQL-инъекции. Самые большие награды в этом году составили 12 млн рублей, 7,5 млн рублей и 3,7 млн рублей. Размер вознаграждения зависит от критичности уязвимости, простоты её использования и влияния на данные пользователей.
«Яндекс» в рамках программы «Охота за ошибками» в 2023 году уже увеличил выплаты за уязвимости в два раза до 1,5 млн рублей за RCE. Также за поиск SQL-инъекций максимальная награда теперь составляет не 450 тыс. рублей, а 900 тыс. рублей.
Для зарубежных белых хакеров «Яндекс» по программе «Охота за ошибками» предлагает выплаты в долларах. Например, до $20 тыс. за RCE в инфраструктуре, веб-сервисах, приложениях «Яндекса».
«Яндекс» сообщил Хабру, что в 2022 году выплатил 39,7 млн рублей белым хакерам. Самые крупные награды составили 2 млн рублей, 1,2 млн рублей и 1 млн рублей. Всего в 2022 году в программе «Охота за ошибками» компании приняли участие 414 исследователей. Они прислали 905 отчётов, из которых 288 сообщений были уникальными и соответствовали правилам программы. В остальных случаях белыми хакерами были указаны уязвимости и ошибки, которые уже выявили другие исследователи или собственная команда безопасности компании. Самый активный белый хакер получил 43 выплаты в 2022 году. В компании заверили, что все найденные исследователями ошибки были оперативно исправлены.
С 2012 года в программе поучаствовало более 5 тыс. исследователей и белых хакеров, которые сообщили о более чем 16,5 тыс. найденных технических уязвимостях и багах в веб-сервисах или мобильных/десктопных приложениях, инфраструктуре и некоторых умных устройствах «Яндекса».
Согласно правилам программы, «Яндекс» вручает награды только за обнаружение новых уязвимостей. В течение 90 дней после отправки сообщения об ошибке о ней нельзя никому и нигде рассказывать. «Яндекс» выплачивает вознаграждения на карту «Сбера» или других банков, согласно заполненной анкете от участника программы.
Участвовать в «Охоте за ошибками» могут пользователи в возрасте 14 лет и старше. При этом те, кто младше 18, могут принять участие только с письменного согласия родителей.
Источник новости: habr.com