Яндекс планирует увеличить общую сумму выплат в рамках программы «Охота за ошибками» к 2023 году. Компания выделит 100 миллионов рублей для вознаграждения исследователей, которые находят уязвимости в ее продуктах и инфраструктуре. Эта программа помогает Яндексу постоянно укреплять защиту своих сервисов и оперативно исправлять найденные ошибки. Если общие выплаты превысят 100 миллионов рублей, Яндекс продолжит награждать участников.
В 2023 году Яндекс уже выплатил охотникам 35,5 миллионов рублей, большая часть наград пришлась на январский конкурс с десятикратным повышением выплат за находки в категориях Remote Code Execution и SQL-инъекции. Самые большие награды конкурса составили 12 миллионов, 7,5 миллионов и 3,7 миллионов рублей. Размер вознаграждения зависит от критичности уязвимости, простоты ее использования и влияния на данные пользователей.
В прошлом году Яндекс решил навсегда повысить вознаграждение за каждую найденную уязвимость в 2 раза. Например, за поиск SQL-инъекций максимальная награда составляет не 450, а 900 тысяч рублей. В 2022 году общий размер выплат составил 39,7 миллионов рублей, самые крупные — 2 миллиона, 1,2 миллиона и 1 миллион рублей. За год в программе «Охота за ошибками» поучаствовало 414 исследователей. Они прислали 905 отчетов, из которых 288 были уникальными и соответствовали правилам программы. В остальных случаях были указаны уязвимости и ошибки, которые уже выявили другие исследователи или собственная команда безопасности.
Награду получили 277 охотников, первыми приславших уникальные отчеты. Самый активный участник прислал 64 отчета и получил 43 выплаты. Все найденные ошибки были исправлены. Программа «Охота за ошибками» – это постоянная программа Яндекса по премированию этичных хакеров, которые разбираются в компьютерной безопасности, находят уязвимости в продуктах IT-компаний и сообщают им об этом за награду. В 2012 году Яндекс первым в России запустил подобную программу. В сентябре 2022 года в честь десятилетия «Охоты за ошибками» компания увеличила выплаты в 10 раз на месяц.
Списки ошибок и уязвимостей для «охоты», а также размеры денежных наград за их обнаружение можно посмотреть на сайте.