Три миллиона за баг: Яндекс увеличил выплаты участникам программы по поиску уязвимостей

27.05.2025

Яндекс расширил условия участия в программе поиска уязвимостей: теперь максимальное вознаграждение за критические находки достигает 3 млн рублей. Изменения касаются ключевых компонентов экосистемы — Яндекс Почты, Яндекс ID и платформы Yandex Cloud. Об этом компания сообщила в официальном релизе.

Программа, известная как «Охота за ошибками», ориентирована на специалистов по кибербезопасности, способных обнаружить технические уязвимости, которые потенциально могут быть использованы для компрометации пользовательских данных или инфраструктуры. Высшая награда предусмотрена за уязвимости класса RCE (удалённое выполнение кода), а также за эксплойты, связанные с выходом из виртуальных машин в облачной среде.

По словам представителей Яндекса, повышение выплат связано с необходимостью усиления защиты сервисов, обрабатывающих чувствительную информацию. Почта используется как канал восстановления доступа к другим сервисам, а через Яндекс ID осуществляется авторизация в десятках внешних систем. Yandex Cloud, в свою очередь, обслуживает корпоративных клиентов и отвечает за изоляцию пользовательских данных на уровне виртуализации.

Программа «Охота за ошибками» действует с 2012 года и позволяет любому специалисту в области ИБ протестировать сервисы Яндекса на устойчивость к атакам. За прошедшие годы с её помощью было устранено множество потенциально опасных уязвимостей. Новый этап развития предполагает не только повышение мотивации для участников, но и дополнительную проверку систем, от которых зависит безопасность миллионов пользователей.

Ознакомиться с актуальными условиями участия, перечнем сервисов и шкалой выплат можно на специальной странице bug bounty-программы на сайте компании.