«Яндекс» рассказал Inc. об «Охоте за ошибками», своей постоянной программе по премированию этичных хакеров, специалистов по компьютерной безопасности, которые находят уязвимости в продуктах IT-компаний и сообщают о них за вознаграждение. Программа была запущена в 2012 году. В 2023 году «Яндекс» выплатил участникам 70 млн руб. По сравнению с 2022 годом общая сумма выплат увеличилась почти вдвое. Тогда она составляла около 40 млн руб.
Это связано как с запуском конкурсов по различным направлениям «Охоты» с повышенными выплатами, так и с увеличением наград и ростом числа участников программы. Так, в 2023 году «Яндекс» начал выплачивать повышенные вознаграждения за найденные уязвимости, а также провел несколько конкурсов по поиску определенных типов ошибок. При участии в конкурсах награды могут увеличиваться в 10 раз по сравнению с обычными выплатами.
Конкурсы стали большой частью «Охоты за ошибками» — они помогают привлечь больше участников и сфокусировать их внимание на наиболее важных для компании направлениях. Например, один из конкурсов был посвящен защите персональных данных пользователей. Задачей «охотников» стал поиск ошибок и уязвимостей, которые могут привести к их утечке.
В этом году «Яндекс» планирует выделить не менее 100 млн руб. на вознаграждение участников «Охоты». В компании говорят, что заинтересованы в росте аудитории программы, потому что это важная часть проверки сервисов «Яндекса» на прочность, а также отмечают, что сообщество багхантеров состоит из сильных разработчиков, исследователей, специалистов по безопасности.
«Для них поиск уязвимостей — это возможность использовать свои навыки и усилить безопасность сервисов, которыми они пользуются ежедневно. Для нас — дополнительная помощь в усилении защиты наших сервисов и пользовательских данных, а также возможность оценить безопасность сервисов независимым взглядом», — говорит тимлид продуктовой безопасности Яндекса Иван Чалыкин.
В 2023 году в «Охоте за ошибками» участвовали 528 исследователей, которые прислали в общей сложности 736 отчетов. 378 уникальных и впервые выявленных ошибок были вознаграждены. При этом самые крупные выплаты пришлись на конкурс критичных уязвимостей и составили 12 млн, 7,5 млн и 3,7 млн руб. Этичный хакер, приславший 41 уникальный отчет, заработал за год 17 млн руб. На втором и третьем местах оказались охотники, получившие выплаты в сумме 12 млн и 4,3 млн руб.
Наиболее популярными в прошедшем году стали отчеты XSS. Они принимались в рамках отдельного конкурса. Это тип уязвимостей, благодаря которым злоумышленники могут обходить систему безопасности сайтов и вставлять вредоносный код на веб-страницы.
Ранее «Яндекс» объявилоб открытии набора в бесплатные летние школы для начинающих специалистов. В 2024 году, помимо четырех уже существующих школ, а именно разработки интерфейсов, бэкенд-разработки, мобильной разработки и менеджеров, компания открывает школу аналитиков-разработчиков. Кроме того, обновились и программы школ.