Яндекс выделит 100 млн рублей на вознаграждение «белых хакеров» – исследователей, которые ищут уязвимости в продуктах и инфраструктуре компании. Компания продолжит награждать участников, если общие выплаты превысят 100 млн рублей.
В 2023 году Яндекс уже выплатил охотникам 35,5 млн рублей – большая часть наград пришлась на январский конкурс с десятикратным повышением выплат за находки в категориях Remote Code Execution и SQL-инъекции.
Самые большие награды конкурса – 12 млн, 7,5 млн и 3,7 млн рублей.
Размер вознаграждения зависит от критичности уязвимости, простоты ее использования и влияния на данные пользователей.
Напомним, в прошлом году Яндекс навсегда повысил вознаграждение за каждую найденную уязвимость в 2 раза. Например, за поиск SQL-инъекций максимальная награда составляет не 450, а 900 тысяч рублей.
В 2022 году общий размер выплат составил 39,7 млн рублей, самые крупные – 2 млн, 1,2 млн и 1 млн рублей. За год в «Охоте за ошибками» поучаствовало 414 исследователей. Награду получили 277 охотников, первыми приславшие уникальные отчёты. Самый активный участник прислал 64 отчёта и получил 43 выплаты. Все найденные ошибки были исправлены.
Списки ошибок и уязвимостей для «охоты», а также размеры денежных наград за их обнаружение можно посмотреть на сайте.
«Охота за ошибками» – постоянная программа Яндекса по премированию этичных хакеров – тех, кто разбирается в компьютерной безопасности, находит уязвимости в продуктах IT-компаний и сообщает им об этом за награду. В 2012 году Яндекс первым в России запустил подобную программу. В сентябре 2022 года в честь десятилетия «Охоты за ошибками» компания увеличила выплаты в 10 раз на месяц.
Напомним, в июне 2021 года Яндекс перезапустил программу «Охота за ошибками» и увеличил общий бюджет до 750 тыс. рублей за найденные уязвимости.
Источник: пресс-релиз Яндекса