«Яндекс» увеличил фонд программы поощрения белых хакеров до 100 млн рублей

Общая сумма выплат «Яндекса» в рамках программы «Охота за ошибками», посвящённой поиску уязвимостей в продуктах и инфраструктуре компании, в 2023 году увеличивается до 100 млн руб. В «Яндексе» готовы выплачивать вознаграждения так называемым «белым хакерам», даже если заложенная фондом сумма будет исчерпана.

С начала года сумма выплат составила 35,5 млн руб. Значительную её долю принял январский конкурс, в рамках которого бонусы увеличивались десятикратно за обнаруженные ошибки в категориях Remote Code Execution и «SQL-инъекции». Наиболее крупные премии в этих зачётах составили 12 млн, 7,5 млн и 3,7 млн руб. — величина суммы определяется степенью критичности выявленной уязвимости, простотой эксплуатации и степенью угрозы данным пользователей.

В прошлом году размеры вознаграждений были навсегда увеличены вдвое. Обнаруженные исследователями SQL-инъекции, к примеру, оцениваются до 900 тыс., а не 450 тыс. руб. За 2022 год «Яндекс» выплатил 39,7 млн руб. вознаграждений. Самые крупные премии составили 2 млн, 1,2 млн и 1 млн руб. Всего в программе приняли участие 414 исследователей, от которых поступили 905 отчётов — уникальными и соответствующими правилам программы оказались 288 из них. В прочих случаях это были ошибки, ранее выявленные другими добровольцами или сотрудниками «Яндекса». Премии получили 277 экспертов, чьи уникальные сообщения оказались первыми. Один из участников программы прислал 64 отчёта и получил 43 выплаты. Все обнаруженные ошибки были исправлены.

Программу поиска уязвимостей «Яндекс» запустил в 2012 году — компания была первой в России. Теперь программа «Охота за ошибками» действует в «Яндексе» постоянно.