"Контур" призовет 30 тыс. хакеров на защиту периметра. Цена вопроса - 1 млн руб.
В сообщении АО "ПФ "СКБ Контур" сказано, что ранее программа действовала в закрытом режиме и была рассчитана на ограниченный круг специалистов. Теперь к ней может присоединиться открытое сообщество исследователей, готовое тестировать сервисы компании и помогать в повышении их устойчивости к кибератакам. "Решение о переходе в публичный формат стало итогом нескольких лет внутренней работы. За время приватного этапа исследователи выявили десятки уязвимостей, включая критические. Компания выстроила процесс тиража - приема, анализа и приоритизации угроз, внедрила систему обратной связи и увеличила выплаты. Каждый отчет теперь сопровождается пояснениями и доказательной базой, а оценка проводится с учетом не только технических последствий, но и новизны представленного вектора атаки", - говорится в сообщении.
Представитель пресс-службы "СКБ Контур" сообщил корреспонденту ComNews, что программа Bug Bounty внутри компании существует уже давно: "Сначала мы работали в self-hosted-режиме - размещали программу на наших ресурсах, затем перешли на площадку Standoff 365 (платформа для специалистов по информационной безопасности, созданная АО "Позитив Текнолоджиз" - прим. ComNews), а теперь сделали шаг в публичный режим. Несмотря на общий тренд популяризации направления, инициатива развивать Bug Bounty прежде всего внутренняя. Мы привлекаем внешних исследователей, чтобы расширить охват известных нам уязвимостей и повысить информационную безопасность сервисов и продуктов "Контура" и наших клиентов. Поиск уязвимостей во внешней приватной программе показал эффективность, поэтому мы решили привлечь еще больше исследователей и их опыт в рамках публичного формата".
Руководитель продукта Standoff Bug Bounty Азиз Алимов перечислил участников платформы Standoff 365 и суммы выплат белым хакерам:
- АО "ТБанк" (Т-Банк). Максимальная выплата за один баг составляет до 1 млн руб. За все время исследователям перечислено более 11,9 млн руб.
- ООО ВК (VK - программа мессенджер Max) с максимальной выплатой до 5 млн руб. На данный момент Bug Hunters получили более 9,9 млн руб.
- ООО "Таймвэб.Клауд" (Timeweb Cloud) - до 500 тыс. руб. за находку, всего выплачено 897 тыс. руб.
- АО "Инфосистемы Джет" - вознаграждение в одни руки до 250 тыс. руб., суммарные выплаты составили 221 тыс. руб.
- ООО "Инстамарт Сервис" ("Купер") - вознаграждение в одни руки может составлять также до 250 тыс. руб., исследователям выплачено 398,5 тыс. руб.
- "Мегамаркет" (бывшее название "Купера") - вознаграждение в одни руки до 250 тыс. руб., выплачено свыше 1,3 млн руб.
- ООО "Окко" - вознаграждение в одни руки до 500 тыс. руб., общая сумма вознаграждений превысила 2,3 млн руб.
- АО "Самокат" - до 250 тыс. руб., исследователям перечислено более 1,37 млн руб.
Как у вас
В России есть и другие внешние площадки Bug Bounty, такие как Bugbounty.ru, Bi.Zone Bug Bounty (принадлежит ООО "Бизон"), а также внутренняя платформа Yandex.BugBounty.
Руководитель продукта Bi.Zone Bug Bounty Андрей Левкин отметил, что российский рынок багбаунти продолжает активно расти и развиваться. Компании все чаще выводят на платформу сразу несколько цифровых ресурсов, рассматривая багбаунти как эффективный инструмент анализа защищенности систем.
Андрей Левкин рассказал, что самой быстрорастущей отраслью на Bi.Zone Bug Bounty за последний год стал госсектор - запрос увеличился более чем в 4,5 раза: "Мы видим, что субъекты РФ все активнее запускают и расширяют программы багбаунти. ИТ-сегмент также показал высокую динамику по выходу на платформу. В рамках отраслевой сегментации компании представлены следующим образом: по 29% занимают госсектор и ИТ; 17% - финтех; 8% - ретейл; 5% - HoReCa и развлечения. Оставшаяся доля приходится на сферы медиа, транспорта, телекома, промышленности, образования и строительства".
Yandex.BugBounty принадлежит "Яндексу". Представитель пресс-службы компании сообщил, что "охоту за ошибками" "Яндекс" ведет с 2012 г.: "Мы стали первой российской компанией, которая начала премировать специалистов по компьютерной безопасности за сообщения об уязвимостях в сервисах. Программа позволяет устроить сервисам "Яндекса" дополнительную проверку на прочность и убедиться в надежности систем защиты".
Представитель пресс-службы VK сообщил, что его компания одна из первых в России начала платить внешним исследователям безопасности за найденные уязвимости: "За более 11 лет существования VK Bug Bounty компания обработала около 21 тыс. отчетов от багхантеров и выплатила свыше 320 млн руб. Программа запущена на площадках Standoff Bug Bounty, Bi.Zone Bug Bounty и ВugВоunty.ru".
Руководитель продуктовой безопасности ООО "РВБ" (Wildberries & Russ) Александр Хамитов рассказал, что компания активно развивает программу багбаунти на площадке Standoff365: "Она стала для нас отличным дополнением к внешним и внутренним аудитам, но, в отличие от них, работающим 24/7 365 дней в году. Благодаря белым хакерам мы выявляем уязвимости на ранних стадиях и получаем независимую оценку безопасности наших приложений и API. Это повысило зрелость ИБ-контурa и помогло встроить безопасность в процессы разработки. Кроме того, в августе 2025 г. мы подняли вознаграждение за реализацию сценария получения несанкционированного доступа к тестовому личному кабинету продавца - теперь оно составляет 1 млн руб. Также добавились два новых сценария: получение доступа к тестовому кабинету покупателя и несанкционированное финансовое обогащение".
Руководитель продуктовой безопасности ООО "КеxЕкоммерц" ("Авито") Екатерина Пухарева сообщила, что компания оценивает эффективность программы не только по количеству найденных багов, но и по их качеству и критичности: "В начале 2025 г. мы повысили выплаты в полтора-два раза по всем типам уязвимостей, максимальный размер вознаграждения вырос до 500 тыс. руб. Также проводили специальные акции с удвоением выплат до 1 млн руб. - так мы поддерживаем активность исследователей в низкий сезон. В результате за первое полугодие 2025 г. количество отчетов выросло на 150% в сравнении с аналогичным периодом 2024 г. Отлаженные внутренние процессы позволяют "Авито" не допускать возникновения большого количества уязвимостей".
Скорый всплеск
Менеджер по развитию SIEM UserGate (интегрированная платформа для сбора, анализа, мониторинга, а также расследования событий и инцидентов безопасности в Сети, разработанная ООО "Юзергейт") Дмитрий Чеботарев отметил, что интерес к программам багбаунти в России с 2022 г. стремительно набирает обороты: "Из неформальных бесед с представителями российского ИТ-сообщества становится ясно, что в ближайшие год-два нас ждет настоящий бум таких программ. Множество компаний не просто присматриваются к этой практике, а активно прорабатывают стратегии для запуска. Вполне закономерно, что в перспективе пяти лет Bug Bounty превратится из непонятного словосочетания в неотъемлемый и привычный компонент кибербезопасности для большинства серьезных компаний в России".
Проджект-менеджер ООО "МД Аудит" (MD Audit, входит в ГК Softline) Кирилл Левкин отметил, что запуск публичных баг баунти программ видится логичным шагом для большинства крупных ИТ-компаний в ближайшие годы: "Рынок переходит от формального аудита к постоянному тестированию в условиях, максимально приближенных к реальной атаке. Такой подход уже стал стандартом для зрелых организаций, работающих с чувствительными данными или критической инфраструктурой. В России сформировалась экосистема платформ и независимых исследователей, а доверие между бизнесом и сообществом белых хакеров растет. Переход к открытому формату - это не столько вопрос имиджа, сколько элемент зрелой киберустойчивости: компании осознают, что внешнее экспертное сообщество помогает находить сложные, нетривиальные уязвимости быстрее, чем внутренние команды".
Ведущий инженер ООО "Газинформсервис" Иван Рябов считает, что суммы вознаграждений багхантеров в будущем однозначно будут расти: "На это влияет зрелость компаний и их продуктов, а также конкуренция, поскольку исследователям нужна достойная компенсация за время, потраченное на поиск критических уязвимостей. Отдельно стоит отметить тренд на появление государственных программ. Несмотря на невысокие выплаты, они привлекательны для новичков за счет простоты поиска и системы баллов на платформах, что помогает начинающим специалистам легче стартовать в профессии".
Директор департамента "Информационная безопасность" ООО "Рексофт" Сергей Бабкин также считает, что суммы вознаграждений будут увеличиваться: "Для этого есть несколько предпосылок: растущий рынок стоимости услуг, в части Pentest (тестирования на проникновение), повышение спроса на специалистов по аудиту и анализу защищенности инфраструктуры и рост компетенций специалистов, связанный с ростом влияния на бизнес ИТ-технологий и технологий безопасности".
Эксперт, который в 2025 г. занял первое место в рейтинге платформы Standoff 365, старший специалист отдела анализа защищенности ООО "Инфосекьюрити" (Infosecurity, входит в ГК Softline) Олег Уланов с точки зрения рядового исследователя в программах баг баунти отметил, что этот год для него уже связан с более чем 140 принятыми и оплаченными отчетами, что соответствует свыше 140 реальным уязвимостям в действующих системах.
"Существенную долю среди них составляют уязвимости высокого и критического уровня, что прямо указывает на устраненные бизнес-риски и потенциальные угрозы безопасности для пользователей данных сервисов. Каждая обнаруженная уязвимость и вектор атаки не только повышают уровень моей экспертизы, но и вносят непосредственный вклад в безопасность компаний, которые доверяют поиск уязвимостей независимым исследователям", - рассказал Олег Уланов.
Руководитель проектов ООО "Интеллектуальная аналитика" Тимофей Воронин предполагает, что баг баунти будет лишь набирать популярность среди российских компаний, так как данный инструмент уже доказал эффективность: "Это направление позволяет в реальных условиях выявлять ошибки. При этом белые хакеры очень заинтересованы, чтобы получить вознаграждение".
Руководитель направления информационной безопасности ГК "Корус Консалтинг" Олег Андреев говорит о том, что в последнее время в России значительно вырос интерес ИТ-компаний к участию в программе Bug Bounty при подготовке к релизу новых продуктов, а также уже после самого релиза: "Во-первых, стандартные средства проверки ИТ-продуктов на стендах не всегда могут выявить существующие уязвимости, так как методики атак и условия проведения пентеста меняются постоянно. Во-вторых, компании, размещаясь на площадках Bug Bounty, хотят продемонстрировать потенциальным клиентам высокий уровень безопасности их решения. Еще один важный аспект – это уверенность вендора в выполнении требований регулятора по защищенности продукта. Белые хакеры, выявляя новые уязвимости, таким образом помогают дорабатывать решение с точки зрения ИБ. Поэтому можно сказать, что в ближайшие годы многие российские ИТ-компании будут наращивать присутствие на платформе Standoff Bug Bounty".
Заместитель технического директора ГК "Цифровые привычки" Сергей Генералов поведал, что система баг баунти хорошо развита в странах, где судебная система за нарушения информационной безопасности, повлекшие нарушения прав клиентов, взимает в пользу последних многомиллионные штрафы (исчисляемые долларами и евро), а руководители крупных компаний могут быть даже вызваны в госорганы для дачи показаний.
"Вспомните Марка Цукерберга, который отчитывался перед Конгрессом США (хоть там был немного другой вопрос, но факт остается фактом). Также нередки уже многомиллиардные штрафы в пользу контролирующих органов при наличии нарушения прав клиентов. К сожалению, в РФ такая практика отсутствует полностью, и фактически компании вообще не имеют экономических и других обоснований хоть как-то вкладываться в информационную безопасность. Ни одна компания после утечки данных за последние годы не понесла никаких наказаний", - подчеркнул Сергей Генералов.