Компания «Яндекс» опубликовала итоги ежегодной программы «Охота за ошибками». Она направлена на поиск уязвимостей в сервисах и инфраструктуре компании. В 2025 году независимые исследователи безопасности (багхантеры) получили 62 миллиона рублей. Это на 20% больше, чем годом ранее. Такая щедрость объясняется ростом числа обнаруженных проблем. За год специалисты отправили 706 отчётов о найденных уязвимостях, что на 30% превышает показатели 2024 года .
Масштаб программы
Всего в программе приняли участие более 700 исследователей, которые направили 1,3 тысячи отчётов, соответствующих требованиям программы. Это на 30% больше результатов прошлого года .
Важно понимать: награды получают только за уникальные и впервые обнаруженные уязвимости. Остальные отчёты касались ошибок, которые уже были найдены другими исследователями или командой безопасности Яндекса. Но даже такие дублирующиеся сообщения помогают компании лучше понимать ландшафт угроз .
Лидеры и рекорды
21 участник программы заработал более 1 миллиона рублей в 2025 году. Самый успешный исследователь отправил 59 отчётов об уникальных ошибках и получил 3,6 миллиона рублей. Второе и третье места заняли участники с результатами 3,2 млн и 3,1 млн рублей соответственно .
Самые крупные вознаграждения за одну уязвимость составили:
- 2 миллиона рублей .
- 1,5 миллиона рублей .
- 1,2 миллиона рублей .
Чаще всего багхантеры отправляли отчёты о XSS-уязвимостях (межсайтовом выполнении сценариев). Это тип атак, при котором злоумышленник может внедрить вредоносный код на веб-сайт. Затем он выполняется в браузере пользователя .
Почему это важно
Яндекс регулярно проводит внешние проверки безопасности. Программа «Охота за ошибками» — один из ключевых инструментов такой работы. Она позволяет получить независимую оценку уровня защиты сервисов и инфраструктуры от профессионального сообщества .
Кроме багхантинга, компания проводит внешние аудиты для оценки устойчивости инфраструктуры к атакам. Такой комплексный подход помогает находить и устранять уязвимости.
Таким образом, рост выплат и числа отчётов говорит не о том, что сервисы Яндекса становятся менее защищёнными. Это говорит о растущей активности и профессионализме сообщества багхантеров в программе «Охота за ошибками».