Программа «Охота за ошибками» посвящена поиску уязвимостей в сервисах и инфраструктуре «Яндекса». По сравнению с прошлым годом общая сумма выплат увеличилась почти вдвое — с 40 до 70 миллионов рублей. В компании рассказали о подробностях программы и причинах повышения суммы выплат.
По словам представителей компании, повышение выплат связано с общим увеличением количества не только наград, но и участников программы: в 2023 году «Яндекс» начал выплачивать увеличенные вознаграждения за найденные уязвимости, а ещё провёл несколько конкурсов по поиску конкретных типов ошибок. При участии в конкурсах награды могут увеличиваться в 10 раз по сравнению с обычными выплатами.
Конкурсы стали большой частью «Охоты за ошибками» — они помогают кратно увеличить количество отчётов и сфокусировать внимание «охотников» на наиболее важных для «Яндекса» направлениях безопасности. Например, один из квестов был посвящён защите пользовательских данных, где задачей «белых» хакеров стал поиск ошибок и уязвимостей, которые могут привести к раскрытию чувствительной информации.
В 2024 году компания выделит не менее 100 млн рублей на вознаграждение за найденные уязвимости. Развитие программы «Охота за ошибками» — это возможность привлечь внешних специалистов, чтобы дополнительно усилить защиту сервисов компании, оперативно исправляя найденные критические ошибки.
«Мы заинтересованы в росте аудитории "Охоты за ошибками", так как это важная часть проверки наших сервисов на прочность. Сообщество багхантеров состоит из сильных разработчиков, исследователей, специалистов по безопасности. Для них поиск уязвимостей — это возможность использовать свои навыки и усилить безопасность сервисов, которыми они пользуются ежедневно. Для нас — дополнительная помощь в усилении защиты наших сервисов и пользовательских данных, а также возможность оценить безопасность сервисов независимым взглядом», — говорит тимлид продуктовой безопасности «Яндекса» Иван Чалыкин.
В 2023 году в «Охоте за ошибками» поучаствовали 528 исследователей, которые прислали 736 отчётов об ошибках. И за 378 уникальных и впервые выявленных находок исследователи получили выплаты.
Самые крупные выплаты 2023 года — 12 млн, 7,5 млн и 3,7 млн рублей — пришлись на конкурс по поиску критичных уязвимостей. За весь год наибольшую сумму в 17 млн рублей заработал один хакер, приславший 41 уникальный отчёт. Второе и третье место заняли багхантеры с общей суммой выплат в 12 и 4,3 млн рублей.
В 2023 году самыми популярными стали отчёты в категории XSS — для их поиска был проведён отдельный конкурс. Подобные уязвимости могут использовать злоумышленники для обхода политики безопасности сайтов, чтобы вставлять вредоносный код на веб-страницы.
«Охота за ошибками» — постоянная программа «Яндекса» по премированию этичных хакеров, которые разбираются в компьютерной безопасности, находят уязвимости в продуктах IT-компаний и сообщают им об этом за награду. В 2012 году «Яндекс» первым в России запустил подобную программу. Списки ошибок и уязвимостей для «Охоты», а также размеры денежных наград за их обнаружение можно посмотреть на сайте программы.