🔥 Темная сторона баг-баунти Яндекса: когда баги принимают, а деньги не платят
Коллеги, давайте поговорим о том, о чем многие предпочитают молчать — о проблемах с программой “Охота за ошибками” от Яндекса. За последние годы накопилось немало жалоб от багхантеров, которые столкнулись с отказами в выплатах при том, что их уязвимости были приняты и исправлены 😤
Что происходит?
По данным из открытых источников, исследователи сталкиваются с несколькими типичными проблемами:
Проблема 1: “Баг не входит в scope программы”
Классический случай — исследователь нашел реальную уязвимость (например, незащищенный API-ключ на миллион рублей в год), потратил время на составление отчета, а в ответ получил: “К сожалению, это не входит в рамки программы”. При этом уязвимость реальная, баг подтвержден, но выплаты не будет. Исследователя максимум добавят в “Зал славы” — без копейки вознаграждения.
Проблема 2: Произвольная классификация багов
Яндекс может произвольно реклассифицировать найденную уязвимость. То, что по OWASP Top-10 является критичным багом (Broken Authentication, Broken Access Control, Security Misconfiguration), вдруг становится “отсутствием лимитов на использование API” и не подлежит оплате.
Проблема 3: Долгое игнорирование
Некоторые багрепорты висят месяцами без ответа. Исследователь ждет два месяца, уязвимость наконец исправляют, но отказывают в выплате, ссылаясь на то, что “баг уже был известен внутренним командам”. При этом никаких доказательств не предоставляется.
Проблема 4: Непрозрачность оценки
На российских баг-баунти площадках (включая программы Яндекса) исследователи постоянно жалуются на непрозрачность оценки критичности. Ты не можешь предсказать размер выплаты, даже зная диапазон. Критичность определяется “по внутренним метрикам компании”, с которыми не поспоришь.
Статистика vs реальность
При этом Яндекс активно PR-ит свою программу:
• В 2024 году выплатили 50,8 млн рублей
• Максимальные выплаты достигают 3 млн рублей
• Один исследователь получил 5,9 млн за 28 отчетов
Звучит красиво, правда? Но вот что остается за кадром:
• Медиана выплат на российских площадках — около 20 тыс. руб
• Багхантеры “не защищены при оценке критичности багов”
• Реальность скриншотов и “внутренних метрик” проверить невозможно
• Некоторые вендоры просто игнорируют сообщения исследователей
Что это значит для индустрии?
Такие истории подрывают доверие к баг-баунти программам в целом. Когда исследователь тратит время и находит реальную проблему, а компания отказывается платить по формальным причинам — это демотивирует всё сообщество.
Результат? Багхантеры начинают избегать программы с плохой репутацией. А некоторые критичные уязвимости могут вообще не найти — или найдут те, кто продаст их на черном рынке вместо белого баг-баунти.
Что нужно изменить? 💡
Российским баг-баунти площадкам (и Яндексу в частности) стоит:
1. Внедрить рейтинг вендоров с открытой обратной связью
2. Показывать метрики: скорость ответа, время выплат, качество триажа
3. Сделать оценку критичности более прозрачной
4. Предоставлять доказательства при отклонении багов как дубликатов
5. Не заставлять ждать выплаты до “устранения уязвимости” неопределенный срок
Итог
Не хочу сказать, что все плохо — программа “Охота за ошибками” действительно работает и платит. Но проблемы есть, и о них нужно говорить открыто. Только конструктивная критика и общественное давление помогут сделать баг-баунти в России прозрачнее и честнее 🎯
#bugbounty #кибербезопасность #яндекс #багбаунти #whitehacking #infosec #россия
Коллеги, давайте поговорим о том, о чем многие предпочитают молчать — о проблемах с программой “Охота за ошибками” от Яндекса. За последние годы накопилось немало жалоб от багхантеров, которые столкнулись с отказами в выплатах при том, что их уязвимости были приняты и исправлены 😤
Что происходит?
По данным из открытых источников, исследователи сталкиваются с несколькими типичными проблемами:
Проблема 1: “Баг не входит в scope программы”
Классический случай — исследователь нашел реальную уязвимость (например, незащищенный API-ключ на миллион рублей в год), потратил время на составление отчета, а в ответ получил: “К сожалению, это не входит в рамки программы”. При этом уязвимость реальная, баг подтвержден, но выплаты не будет. Исследователя максимум добавят в “Зал славы” — без копейки вознаграждения.
Проблема 2: Произвольная классификация багов
Яндекс может произвольно реклассифицировать найденную уязвимость. То, что по OWASP Top-10 является критичным багом (Broken Authentication, Broken Access Control, Security Misconfiguration), вдруг становится “отсутствием лимитов на использование API” и не подлежит оплате.
Проблема 3: Долгое игнорирование
Некоторые багрепорты висят месяцами без ответа. Исследователь ждет два месяца, уязвимость наконец исправляют, но отказывают в выплате, ссылаясь на то, что “баг уже был известен внутренним командам”. При этом никаких доказательств не предоставляется.
Проблема 4: Непрозрачность оценки
На российских баг-баунти площадках (включая программы Яндекса) исследователи постоянно жалуются на непрозрачность оценки критичности. Ты не можешь предсказать размер выплаты, даже зная диапазон. Критичность определяется “по внутренним метрикам компании”, с которыми не поспоришь.
Статистика vs реальность
При этом Яндекс активно PR-ит свою программу:
• В 2024 году выплатили 50,8 млн рублей
• Максимальные выплаты достигают 3 млн рублей
• Один исследователь получил 5,9 млн за 28 отчетов
Звучит красиво, правда? Но вот что остается за кадром:
• Медиана выплат на российских площадках — около 20 тыс. руб
• Багхантеры “не защищены при оценке критичности багов”
• Реальность скриншотов и “внутренних метрик” проверить невозможно
• Некоторые вендоры просто игнорируют сообщения исследователей
Что это значит для индустрии?
Такие истории подрывают доверие к баг-баунти программам в целом. Когда исследователь тратит время и находит реальную проблему, а компания отказывается платить по формальным причинам — это демотивирует всё сообщество.
Результат? Багхантеры начинают избегать программы с плохой репутацией. А некоторые критичные уязвимости могут вообще не найти — или найдут те, кто продаст их на черном рынке вместо белого баг-баунти.
Что нужно изменить? 💡
Российским баг-баунти площадкам (и Яндексу в частности) стоит:
1. Внедрить рейтинг вендоров с открытой обратной связью
2. Показывать метрики: скорость ответа, время выплат, качество триажа
3. Сделать оценку критичности более прозрачной
4. Предоставлять доказательства при отклонении багов как дубликатов
5. Не заставлять ждать выплаты до “устранения уязвимости” неопределенный срок
Итог
Не хочу сказать, что все плохо — программа “Охота за ошибками” действительно работает и платит. Но проблемы есть, и о них нужно говорить открыто. Только конструктивная критика и общественное давление помогут сделать баг-баунти в России прозрачнее и честнее 🎯
#bugbounty #кибербезопасность #яндекс #багбаунти #whitehacking #infosec #россия