Bug Bounty: объясняем новый термин в нашей регулярной рубрике.

Кто такие багхантеры или этичные хакеры.

Несмотря на своё название, этичные хакеры (или охотники за ошибками) не атакуют компании, а специально ищут ошибки и уязвимости в их сервисах и инфраструктуре. Они рассказывают о своих находках и получают вознаграждение. В 2022 году Яндекс потратил на это около 40 млн рублей, а в этом году мы увеличили фонд уже до 100 миллионов. И конечно, у багхантеров Яндекса есть свой Зал славы.

У этичных хакеров свой подход к тестированию.

Как и обычные хакеры, охотники за ошибками пытаются проникнуть в инфраструктуру. Они изучают обновления сервисов и новые фичи, чтобы понять, где может скрываться ошибка. Но есть важное отличие: багхантеры не могут устраивать DDoS-атаки и должны работать только с тестовыми аккаунтами, не затрагивая реальных пользователей.

Bug Bounty — дополнительный инструмент.

Регулярные проверки силами внешних исследователей — это дополнительный способ сделать сервисы надёжнее. Почти все крупные IT-компании запускают собственные программы по поиску ошибок: например, Apple, Google и Telegram. Яндекс первым в России запустил «Охоту за ошибками» ещё 10 лет назад.