Компания «Яндекс» обнародовала результаты своей ежегодной инициативы «Охота за ошибками», нацеленной на выявление слабых мест в собственных сервисах и инфраструктуре. По итогам 2025 года на выплаты независимым специалистам было направлено 62 миллиона рублей, что на 20% превышает показатель предыдущего года. Эти средства стали вознаграждением за 706 принятых отчетов, количество которых выросло на 30% в сравнении с 2024 годом. Данная информация была предоставлена CNews представителями «Яндекса».
«Охота за ошибками» представляет собой постоянно действующий проект «Яндекса» по поощрению специалистов в области кибербезопасности, так называемых этичных хакеров. Эта программа способствует повышению защищенности и стабильности сервисов. «Яндекс» стал первой в России компанией, запустившей подобную инициативу еще в 2012 году. Перечень разыскиваемых недочетов и уязвимостей, а также размеры денежных призов за их обнаружение, опубликованы на специальной странице.
В 2025 году в программе участвовал 701 исследователь. Ими было отправлено 1,3 тысячи полезных отчетов, соответствующих регламенту, что на 30% больше, чем годом ранее. Эти материалы — реальный вклад сообщества в безопасность пользователей: экспертные знания исследователей и детальные описания проблем помогают «Яндексу» дополнительно укреплять защиту. Компания выплатила вознаграждения за все уникальные и ранее неизвестные уязвимости. Остальные отчеты касались ошибок, уже найденных другими участниками или внутренней командой безопасности.
За прошедший год 21 участник программы заработал более 1 миллиона рублей. Наиболее результативный специалист предоставил 59 отчетов об уникальных ошибках и получил 3,6 миллиона рублей. Второе и третье места заняли исследователи с выплатами в 3,2 и 3,1 миллиона рублей соответственно. Наибольшие единовременные вознаграждения за обнаружение одной уязвимости составили 2, 1,5 и 1,2 миллиона рублей. Чаще всего баг-хантеры сообщали об XSS-уязвимостях, связанных с потенциальным выполнением вредоносного кода на веб-страницах.
«Яндекс» непрерывно совершенствует программу и обновляет ее условия. В минувшем году компания удвоила максимальный размер выплаты: теперь за сообщение о критической уязвимости в «Яндекс Почте», «Яндекс ID» или Yandex Cloud «белые хакеры» могут получить до 3 миллионов рублей.
В 2025 году в рамках инициативы появилось отдельное направление, посвященное генеративным нейросетям. Исследователи, которые обнаружат технические уязвимости в семействе ИИ-моделей Alice AI и связанной с ними инфраструктуре, могут претендовать на награду до 1 миллиона рублей.
«Яндекс» на регулярной основе организует внешние проверки безопасности. Программа «Охота за ошибками» — один из таких инструментов, позволяющий получить дополнительную независимую оценку уровня защищенности сервисов и инфраструктуры от сообщества экспертов. Помимо этого, компания систематически проводит внешние аудиты для оценки устойчивости инфраструктуры к атакам и безопасности предоставляемых услуг.
В 2026 году «Яндекс» планирует направить 100 миллионов рублей на выплаты участникам программы «Охота за ошибками».
