В 2025 году специалисты по этичному взлому выявили 13 690 уязвимостей в информационных системах российских организаций и государственных структур. Рынок программ Bug Bounty продемонстрировал значительный рост, однако далеко не все обнаруженные проблемы были своевременно устранены. На платформе Positive Technologies число полученных отчетов возросло на 34%, а на Bi.Zone — на 20,1%.
Этичные хакеры нашли почти 14 тысяч уязвимостей в российских компаниях, сообщают «Ведомости». Клиенты стали вдвое чаще привлекать крупнейшие отечественные платформы Bug Bounty в качестве превентивной меры защиты.
Согласно сводной статистике двух российских IT-платформ — Standoff Bug Bounty (Positive Technologies) и Bi.Zone Bug Bounty (Bi.Zone), за 2025 год исследователями в области безопасности было обнаружено 13 690 уязвимостей в различных системах российских компаний и госучреждений. Оба отчета имеются в распоряжении издания.
Bug Bounty — это программа, в рамках которой компания официально приглашает специалистов по кибербезопасности — охотников за уязвимостями — искать недостатки в своих цифровых продуктах, онлайн-сервисах или IT-инфраструктуре. За каждое подтвержденное обнаружение исследователь получает денежное вознаграждение.
По данным Positive Technologies, общее количество полученных отчетов выросло на 34% (7870), а у Bi.Zone — на 20,1% (5800). При этом количество устраненных уязвимостей составило 2909 и 2500 соответственно. На платформе Standoff Bug Bounty больше всего отчетов поступило из финансового сектора, а на Bi.Zone Bug Bounty лидировали сфера онлайн-услуг и IT-компании.
Этичный хакер, или пентестер, — это специалист по информационной безопасности. Он проводит тесты на проникновение, выявляет и помогает устранять уязвимости в IT-инфраструктуре компании. В отличие от злонамеренных хакеров, он ищет недостатки по запросу бизнеса и официально получает за это вознаграждение.
Также увеличилось общее количество программ на платформах, направленных на поиск уязвимостей внутри инфраструктуры отдельных организаций. К концу 2025 года на платформе Positive Technologies действовало 233 программы (в 2,2 раза больше, чем в 2024 году), а на платформе Bi.Zone — 150 программ (в 1,5 раза больше, чем годом ранее).
Средняя выплата на платформе Positive Technologies в 2025 году составила 65 416 рублей, что на 12% выше показателя 2024 года, а максимальная достигла 4,971 млн рублей, однако компания, сделавшая такую выплату, не была названа.
Общая сумма выплат независимым исследователям за 2025 год удвоилась по сравнению с предыдущим периодом и составила 161 млн рублей. В то же время, по информации, предоставленной Positive Technologies «Ведомостям», средний размер выплаты на платформе Bi.Zone остался на прежнем уровне — около 40 тысяч рублей, а максимальное вознаграждение достигло 1,8 млн рублей. Всего за год через эту платформу было выплачено на 35% больше, чем в 2024 году, — 100 млн рублей.
Величина вознаграждений на различных интернет-платформах определяется диапазоном выплат и новизной программы, отмечает гендиректор BugBountyRu Лука Сафонов: на площадке Bi.Zone представлено множество ФГУПов с крайне низкими верхними пределами выплат, как, например, в программах Республики Татарстан и Тульской области.
Согласно информации Минцифры России за декабрь 2025 года, с момента подключения министерства к Bug Bounty-платформам специалистами по безопасности было предоставлено свыше 700 отчетов, из которых одобрено 271. Начиная с 2023 года, Минцифры перечислило исследователям за обнаруженные уязвимости более 13 миллионов рублей.
Как правило, специалисты регистрируются одновременно на нескольких платформах и выбирают либо наиболее привлекательные с финансовой точки зрения проекты, либо те, где уязвимости им проще обнаружить, даже если вознаграждение там скромнее, поясняет директор центра киберзащиты Cloud.ru Сергей Волков. Сумма выплат, по его словам, формируется под влиянием ряда условий, ключевым из которых является серьезность найденной проблемы, ее потенциальное воздействие на бизнес клиента и возможный масштаб ущерба в случае эксплуатации.
При публикации сведений об уязвимости этичные хакеры могут классифицировать ее по степени опасности. По оценкам участников платформы Bi.Zone, 35% принятых уязвимостей имели высокий или критический уровень серьезности. В то же время на платформе Positive Technologies 14% принятых отчетов касались критических, а 18% — высокоуровневых уязвимостей. Среди всех категорий на обеих площадках чаще всего встречались проблемы, связанные с недостаточным контролем прав доступа в системах (IDOR).
Отличительной чертой 2025 года стало превращение Bug Bounty-программ из вспомогательного средства в широко распространенную практику, заявляет руководитель Standoff Bug Bounty Азиз Алимов. Bug bounty все активнее применяется превентивно, становясь элементом постоянной модели безопасности, подчеркнул он.
