«Яндекс» поделился с журналом Inc. о своей программе «Охота за ошибками», которая стимулирует этичных хакеров и специалистов по компьютерной безопасности, находящих уязвимости в продуктах IT-компаний и сообщающих о них за вознаграждение. Программа была запущена в 2012 году. В 2023 году «Яндекс» выплатил участникам 70 миллионов рублей. Это почти вдвое больше, чем в 2022 году, когда сумма составляла около 40 миллионов рублей.
Это связано с запуском конкурсов по различным направлениям «Охоты» с повышенными выплатами и увеличением числа участников программы. В 2023 году «Яндекс» начал выплачивать повышенные вознаграждения за найденные уязвимости и провел несколько конкурсов по поиску определенных типов ошибок. При участии в конкурсах награды могут увеличиваться в 10 раз по сравнению с обычными выплатами.
Конкурсы стали важной частью программы «Охота за ошибками», помогая привлечь больше участников и сфокусировать их внимание на наиболее важных направлениях для компании. Например, один из конкурсов был посвящен защите персональных данных пользователей.
В текущем году «Яндекс» планирует выделить не менее 100 миллионов рублей на вознаграждение участников программы «Охота за ошибками». Компания считает, что это важная часть проверки сервисов «Яндекса» на прочность, а также отмечает, что сообщество «багхантеров» состоит из сильных разработчиков, исследователей и специалистов по безопасности.
В 2023 году в программе «Охота за ошибками» участвовали 528 исследователей, которые прислали 736 отчетов. Было вознаграждено 378 уникальных ошибок. Самые крупные выплаты получили победители конкурса критичных уязвимостей.
Наиболее популярными в прошедшем году стали отчеты о XSS-уязвимостях, которые принимались в рамках отдельного конкурса. Эти уязвимости позволяют злоумышленникам обходить систему безопасности сайтов и внедрять вредоносный код на веб-страницы.
Кроме того, «Яндекс» объявил о запуске бесплатных летних школ для начинающих специалистов. В 2024 году компания открывает новую школу для аналитиков-разработчиков и обновляет программы существующих школ.