Содержание[Свернуть] |
Основная статья: Багхантеры (Bughunter) Bug bounty Поиск уязвимостей
«Охота за ошибками» — постоянная программа «Яндекса» по премированию этичных хакеров — тех, кто разбирается в компьютерной безопасности, находит уязвимости в продуктах ИТ-компаний и сообщает им об этом за награду. В 2012 году «Яндекс» первым в России запустил подобную программу.
История
2025: Запуск направления проверки безопасности генеративных нейросетей
Яндекс 10 апреля 2025 года запустил еще одно направление программы «Охоты за ошибками», связанное с генеративными нейросетями. Компания готова выплатить до миллиона рублей исследователям, которым удастся отыскать технические уязвимости в семействах моделей YandexGPT, YandexART и сопутствующей инфраструктуре.
Участникам «Охоты» предстоит искать технические ошибки, которые могут повлиять на результаты работы и процесс обучения нейросетевых моделей: скажем, привести модель к сбою или изменить её поведение так, чтобы она повлияла на работу других сервисов Яндекса.Управление инцидентами и оркестрацией различных СЗИ. Обзор NG SOAR 
Размер выплаты зависит от серьёзности ошибки и простоты её применения. К критичным относятся уязвимости, которые позволят раскрыть данные о внутренней конфигурации модели, её служебный промт с техническими данными или другую чувствительную информацию. Максимальное вознаграждение за такие ошибки — 1 млн рублей. В «Охоте» могут участвовать только отчёты о технических уязвимостях. К ним, например, не относятся сообщения о неточных ответах Алисы или некорректных изображениях в Шедевруме.
Генеративные нейросети всё шире используются в сервисах Яндекса и партнёрами компании. YandexGPT и YandexART уже нашли применение более чем в 20 сервисах и продуктах для пользователей и бизнеса — от Алисы и Поиска с Нейро до Директа и решений Yandex Cloud, в том числе доступных сторонним разработчикам через API. Появление генеративных нейросетей в «Охоте» позволит проводить их независимую проверку и ещё раз убедиться, что сервисы Яндекса и технологии отвечают самым строгим стандартам безопасности.
Все технологии Яндекса, включая генеративные модели, создаются и развиваются с учётом принципов безопасной разработки на каждом этапе — от проектирования до внедрения. Для этого команда безопасности ещё на стадии проектирования изучает будущую архитектуру сервиса, проверяет её на возможные уязвимости и соответствие стандартам. Яндекс также изучает возможные способы атак на нейросети и разрабатывает защиту от потенциальных угроз. Например, Антиробот Яндекса защищает ИИ-сервисы от DDoS-атак, а центр мониторинга выявляет угрозы и анализирует подозрительную активность в инфраструктуре. Также Яндекс регулярно проводит внутренние аудиты для проверки защищённости сервисов.
2024
Участники заработали 50,8 млн рублей за год
Яндекс 27 февраля 2025 года подвёл ежегодные итоги программы «Охота за ошибками», которая посвящена поиску уязвимостей в сервисах и инфраструктуре компании. В 2024 году в ней участвовало 749 исследователей — это на 40% больше, чем годом ранее. Участники заработали 50,8 млн рублей.
Всего «охотники» прислали 980 отчётов, которые соответствовали правилам программы — на треть больше, чем годом ранее. Они получили награды за 523 отчёта. В остальных отчётах были указаны уязвимости и ошибки, которые уже выявили другие исследователи или команда безопасности Яндекса.
Самый успешный участник прислал 28 отчётов об уникальных ошибках и заработал 5,9 млн рублей. Второе и третье место заняли «охотники» с выплатами в 3,6 и 3 млн рублей. Все критичные ошибки были исправлены.
Рост активности этичных хакеров связан с развитием программы — например, с запуском конкурсов с повышенными выплатами и обновлением направлений «Охоты», в рамках которых исследователи могут искать ошибки.
В 2024 году в программе прошло четыре конкурса: для мобильных приложений, Доставки, Диалогов и Едадила. Каждый конкурс — это возможность сосредоточить внимание исследователей на определённых сервисах или направлениях безопасности. Награды в конкурсах увеличены в несколько раз по сравнению со стандартными выплатами.
Кроме того, Yandex Cloud и мобильные приложения были выделены из общего списка в отдельные направления «Охоты за ошибками»: конкретизированы виды ошибок, области поиска и размер наград. Это позволило «охотникам» находить ошибки, специфичные для конкретного сервиса, и получать за них вознаграждения, а Яндексу — повысить уровень защиты пользовательских данных.
«Охота за ошибками» позволяет Яндексу получить дополнительную независимую оценку уровня безопасности своих сервисов и приложений — это один из подходов компании для усиления защиты и надёжности инфраструктуры. Помимо этого, команда безопасности Яндекса проводит внешние аудиты для проверки устойчивости инфраструктуры к атакам и безопасности сервисов.
В 2025 году Яндекс выделит 100 млн рублей на вознаграждения участников «Охоты за ошибками».
Увеличение награды для охотников за ошибками в умных устройствах до миллиона рублей
Яндекс расширил программу «Охота за ошибками» для умных устройств, добавив в неё изменения 2023 года — Станцию Дуо Макс, Миди и ТВ Станции. Максимальная сумма вознаграждения за найденные уязвимости выросла с 600 тысяч до миллиона рублей. Это поможет привлечь больше «белых хакеров», чтобы проверить устройства на прочность. Об этом Яндекс сообщил 7 февраля 2024 года.
В фокусе внимания — поиск ошибок в новых устройствах. Специалисты, которые смогут обойти их защиту и найти критичные уязвимости, получат до миллиона рублей. Яндекс также увеличил вознаграждение за найденные уязвимости в других устройствах, например в Станции Мини с часами или Станции Макс. Сумма зависит от критичности ошибки.
В 2023 году Яндекс инвестировал в цифровую безопасность более 6 млрд рублей — это вдвое больше, чем годом ранее. Эти деньги пошли на разработку защищённых систем хранения данных, развитие технологий защиты от DDoS-атак и мошенничества, системы управления доступами и другие важные направления.
«Охота за ошибками» — постоянная программа Яндекса по поиску уязвимостей. Любой желающий может попробовать найти уязвимость в продуктах компании, сообщить о ней и получить награду. Такой подход позволяет постоянно повышать надёжность сервисов и вовремя узнавать о возможных рисках.
2023
Выплата 70 млн руб участникам программы «Охота за ошибками» за год
В 2023 году Яндекс выплатил 70 млн рублей участникам программы «Охота за ошибками». Она посвящена поиску уязвимостей в сервисах и инфраструктуре компании. Об этом Яндекс сообщил 12 марта 2024 года. По сравнению с 2022 годом общая сумма выплат увеличилась почти вдвое. Это связано с запуском конкурсов по различным направлениям «Охоты» с повышенными выплатами, увеличением наград и ростом числа участников программы. В 2022 году Яндекс выплатил исследователям около 40 млн рублей.
В 2023 году Яндекс начал выплачивать повышенные вознаграждения за найденные уязвимости, а также провёл несколько конкурсов по поиску конкретных типов ошибок. При участии в конкурсах награды могут увеличиваться в 10 раз по сравнению с обычными выплатами.
Конкурсы стали большой частью «Охоты за ошибками» — они помогают кратно увеличить количество отчётов и сфокусировать внимание охотников на наиболее важных для Яндекса направлениях безопасности. Например, один из конкурсов был посвящён защите пользовательских данных, задачей «охотников» стал поиск ошибок и уязвимостей, которые могут привести к раскрытию чувствительной информации.
В 2024 году компания выделит не менее 100 млн рублей на вознаграждение этичных хакеров. Развитие программы «Охота за ошибками» — это возможность привлечь больше внешних специалистов, чтобы дополнительно усилить защиту сервисов компании, оперативно исправляя найденные ошибки и уязвимости.
 | Мы заинтересованы в росте аудитории «Охоты за ошибками», так как это важная часть проверки наших сервисов на прочность. Сообщество багхантеров состоит из сильных разработчиков, исследователей, специалистов по безопасности. Для них поиск уязвимостей — это возможность использовать свои навыки и усилить безопасность сервисов, которыми они пользуются ежедневно. Для нас — дополнительная помощь в усилении защиты наших сервисов и пользовательских данных, а также возможность оценить безопасность сервисов независимым взглядом, — сказал тимлид продуктовой безопасности Яндекса Иван Чалыкин. |  |
Итоги «Охоты за ошибками» 2023 года
В 2023 году в «Охоте за ошибками» поучаствовали 528 исследователей. Они прислали 736 отчётов об ошибках, которые соответствовали правилам программы. За 378 уникальных и впервые выявленных находок исследователи получили выплаты. Все критичные ошибки были исправлены.
Самые крупные выплаты 2023 года — 12 млн, 7,5 млн и 3,7 млн рублей — пришлись на конкурс по поиску критичных уязвимостей. За весь год наибольшую сумму в 17 млн рублей заработал этичный хакер, приславший 41 уникальный отчёт. Второе и третье место заняли охотники с общей суммой выплат в 12 и 4,3 млн рублей.
В 2023 году самыми популярными стали отчёты в категории XSS — для их поиска был проведён отдельный конкурс. Подобные уязвимости могут использовать злоумышленники, чтобы обходить политики безопасности сайтов и вставлять вредоносный код на веб-страницы.
«Яндекс» открыл охоту хакеров на особые «дыры» в своих сервисах, максимальная награда - 2,8 млн рублей
«Яндекс» запускает конкурс в программе «Охота за ошибками», в рамках которого этичным хакерам предстоит искать в сервисах «Яндекса» ошибки и уязвимости, которые могут привести к раскрытию чувствительной информации. Максимальная награда за критическую уязвимость составит 2,8 млн рублей — это в 5 раз больше обычной выплаты по этим категориям программы, поделились с TAdviser представители «Яндекса» 1 августа 2023 года.
По их словам, сумма вознаграждения будет зависеть от критичности уязвимости, простоты её использования и влияния на безопасность данных пользователей и партнёров. Конкурс продлится до 31 августа.
Охотники за ошибками смогут получить повышенное вознаграждение за отчёты в двух категориях. Первая — IDOR, или небезопасный прямой доступ к объектам. Это уязвимости в механизмах защиты сайтов, через которые злоумышленники могут получить доступ к приватной информации с помощью ошибок в API.
Вторая категория конкурса — другие технические ошибки и уязвимости, которые дают возможность получить доступ к чувствительной закрытой информации. Например, личным закладкам, персональным промокодам или черновикам статей.
Как уточнили в «Яндексе», исследователям разрешено использовать только собственные тестовые аккаунты для проверки возможных уязвимостей. Нельзя пытаться получить доступ к информации других пользователей.
В компании намерены отдавать приоритет найденным во время конкурса ошибкам и оперативно их исправлять.
Списки ошибок и уязвимостей для «охоты», а также размеры денежных наград за их обнаружение можно посмотреть на сайте программы «Охоте за ошибками».
«Яндекс» в 2,5 раза увеличил годовой фонд программы «Охота за ошибками» — до 100 млн рублей
22 июня 2023 года «Яндекс» сообщил, что увеличит общую сумму выплат в программе «Охота за ошибками» в 2023 году. Компания выделит 100 млн рублей на вознаграждение исследователей, которые ищут уязвимости в её продуктах и инфраструктуре. Программа помогает постоянно укреплять защиту сервисов и оперативно исправлять найденные ошибки.
При этом «Яндекс» продолжит награждать участников, если общие выплаты превысят 100 млн рублей, уверяют в компании.
В 2023 году по состоянию на июнь «Яндекс» уже выплатил охотникам 35,5 млн рублей — большая часть наград пришлась на январский конкурс с десятикратным повышением выплат за находки в категориях Remote Code Execution и SQL-инъекции.
Самые большие награды конкурса — 12 млн, 7,5 млн и 3,7 млн рублей. Размер вознаграждения зависит от критичности уязвимости, простоты её использования и влияния на данные пользователей[1].
2022: Итоги программы «Охота за ошибками» в 2022 году
В 2022 году «Яндекс» решил навсегда повысить вознаграждение за каждую найденную уязвимость в 2 раза — например, теперь за поиск SQL-инъекций максимальная награда составляет не 450, а 900 тысяч рублей.
Общий размер выплат за год составил 39,7 млн рублей, самые крупные — 2 млн, 1,2 млн и 1 млн рублей.
За год в «Охоте за ошибками» поучаствовало 414 исследователей. Они прислали 905 отчётов, из них 288 были уникальными и соответствовали правилам программы. В остальных случаях были указаны уязвимости и ошибки, которые уже выявили другие исследователи или собственная команда безопасности.
Награду получили 277 охотников, первыми приславшие уникальные отчёты. Самый активный участник прислал 64 отчёта и получил 43 выплаты. Все найденные ошибки были исправлены, заявляют в компании.
См. также
