«Яндекс» обнародовал результаты ежегодной инициативы «Охота за ошибками», направленной на выявление уязвимостей в собственных сервисах и инфраструктуре. По итогам 2025 года компания перечислила независимым специалистам 62 миллиона рублей — на 20% больше, чем в предыдущем периоде. Эти средства стали вознаграждением за 706 принятых отчетов, что на 30% превышает показатель 2024 года. Данную информацию CNews подтвердили в пресс-службе «Яндекса».
«Охота за ошибками» — это постоянно действующая программа компании, поощряющая этичных хакеров, то есть экспертов в области кибербезопасности. Ее цель — повышение защищенности и стабильности сервисов. «Яндекс» стал первым в России, кто запустил подобный проект еще в 2012 году. Перечень разыскиваемых недочетов и уязвимостей, а также суммы вознаграждений за их обнаружение, опубликованы на специальной странице.
В 2025 году в программе участвовал 701 исследователь. Ими было направлено 1,3 тысячи полезных сообщений, соответствующих регламенту, что на 30% больше, чем годом ранее. Эти отчеты представляют собой ценный вклад сообщества в безопасность пользователей: экспертные знания и детальное описание проблем помогают «Яндексу» укреплять защиту. Компания выплатила премии за все уникальные и ранее неизвестные уязвимости. Остальные сообщения касались ошибок, уже найденных другими участниками или внутренней командой безопасности.
За прошедший год 21 участник программы заработал более 1 миллиона рублей. Наиболее результативный специалист предоставил 59 отчетов об уникальных проблемах и получил 3,6 миллиона рублей. Второе и третье места заняли исследователи с выплатами в 3,2 и 3,1 миллиона рублей соответственно. Максимальные единоразовые вознаграждения за одну найденную уязвимость достигли 2, 1,5 и 1,2 миллиона рублей. Чаще всего багхантеры сообщали об XSS-уязвимостях, которые связаны с риском запуска вредоносного кода на веб-страницах.
«Яндекс» непрерывно совершенствует программу и обновляет ее условия. В минувшем году компания удвоила верхний предел выплат: теперь за сообщение о критической уязвимости в «Яндекс Почте», «Яндекс ID» или Yandex Cloud «белые хакеры» могут получить до 3 миллионов рублей.
В 2025 году в рамках инициативы появилось новое направление, посвященное генеративным нейросетям. Специалисты, обнаружившие технические уязвимости в семействе ИИ-моделей Alice AI и связанной с ними инфраструктуре, могут претендовать на вознаграждение до 1 миллиона рублей.
«Яндекс» систематически организует внешние проверки защищенности. Программа «Охота за ошибками» служит одним из таких инструментов, позволяющих получить независимую оценку уровня безопасности сервисов и инфраструктуры от сообщества экспертов. Параллельно компания регулярно проводит внешние аудиты для тестирования устойчивости инфраструктуры к атакам и проверки защищенности сервисов.
В 2026 году «Яндекс» планирует направить 100 миллионов рублей на выплаты участникам программы «Охота за ошибками».
