Лого Servicepipe (Сервиспайп)
+7 (495) 374-62-65
welcome@servicepipe.ru
Войти
Комментарии

Поиск уязвимостей принес белым хакерам почти 270 млн рублей

Их услуги были наиболее востребованы у финтеха, госсектора и IT‑компаний

26.08.2025  

|  Ведомости

Белые хакеры — IT-специалисты, легально ищущие уязвимости в программных продуктах, — в период с августа 2024 г. по август 2025 г. заработали 268,9 млн руб. Это следует из статистики двух крупнейших российских bug bounty платформ. Эти платформы позволяют компаниям-клиентам размещать у себя программы для белых хакеров, которые за обнаруженные уязвимости могут получить вознаграждение.

На BI.Zone Bug Bounty выплаты белым хакерам, или багхантерам, выросли в полтора раза. Если в период с 1 августа 2023 г. по 1 августа 2024 г. они получили 60 млн руб., то с 1 августа 2024 г. по 1 августа 2025 г. — уже 100 млн руб., следует из отчета платформы. В то же время, по данным Positive Technologies, на Standoff Bug Bounty общая сумма вознаграждений, выплаченных исследователям с 25 августа 2024 г. по 25 августа 2025 г., достигла 168,9 млн руб. (данных за предыдущий отчетный период компания не привела).

Максимальная выплата, которую багхантер мог получить на платформе BI.Zone, не изменилась и составила 1,8 млн руб., а вот средняя выплата снизилась с 44 000 до 41 000 руб., отмечает руководитель продукта BI.Zone Bug Bounty Андрей Левкин. По его словам, снижение связано с тем, что за последний год на площадку активно выходил госсектор: число госорганов из различных регионов, зарегистрированных на платформе, выросло в 4,5 раза, но платят эти заказчики немного.

По словам руководителя проектов компании «Интеллектуальная аналитика» Тимофея Воронина, снижение средней выплаты может быть связано с тем, что на рынок bug bounty выходят новые компании, включая средний и малый бизнес, которые не могут позволить себе выплачивать такие же вознаграждения, как крупные структуры.

Как правило, новые участники — и коммерческие компании, и госсектор — начинают с небольших выплат, чтобы оценить результат, понять, где больше пользы, подтверждает руководитель направления по развитию информационной безопасности (ИБ) «Телеком биржи» Александр Блезнеков.

Но средняя выплата багхантеру на Standoff Bug Bounty выросла с 58 000 до 76 000 руб. Рост связан с увеличением числа исследователей на площадке и количества сданных отчетов, в том числе о критических уязвимостях, пояснил директор по продуктам платформы Standoff 365, Positive Technologies Иван Булавин. Максимальная выплата составила 4,97 млн руб., уточнил он, не раскрыв компанию-участника.

Сейчас самую большую выплату — до 5 млн руб. — можно получить, выявив критическую уязвимость в национальном мессенджере Max, следует из данных Standoff Bug Bounty и Bug Bounty от BI.Zone. Разработчик сервиса VK вышел на обе платформы 1 июля 2025 г.

По сравнению с августом 2024 г. количество программ для белых хакеров (одна компания может размещать несколько программ) на BI.Zone Bug Bounty увеличилось более чем в 1,5 раза — с 78 до более чем 120. 44% программ пришлось на финтех, 23% - на госсектор, 15% — на IT-компании, 10% — на онлайн-сервисы и 8% — на ритейл, рассказал представитель компании. Количество исследователей, зарегистрированных на платформе, в BI.Zone не раскрывают.

С 1 августа 2024 г. по 1 августа 2025 г. было получено более 6000 отчетов, из которых вознаграждение выплатили за 2500, рассказал Левкин. По оценке исследователей, 30% уязвимостей имеют критичность уровня «высокая» и более. Лидерами по количеству сданных отчетов среди отраслей стали IT и финтех — на них пришлось около 80% всех выплат, отметил он. Компании из этих секторов совокупно получили около 4000 отчетов. Это, по словам Левкина, связано с большим количеством веб-ресурсов у таких компаний и высокой степенью цифровизации отраслей.

С 25 августа 2024 г. по 25 августа 2025 г. на Standoff Bug Bounty было запущено 170 программ, как в публичном, так и в приватном формате. На текущий момент на площадке действуют 124 программы, уточнил представитель компании.

Всего за этот период багхантеры сдали 6904 отчета, из которых больше всего пришлось на онлайн-сервисы, торговлю и электронную коммерцию, финансовые сервисы, медиа и развлечения. Причем 508 отчетов были по уязвимостям высокого уровня опасности и 423 — критического, уточнил представитель Positive Technologies.

Сам по себе тот факт, что госкомпании активно выходят на bug bounty площадки, говорит о зрелости ИБ-процессов в госсекторе, рассуждает директор по продуктам Servicepipe Михаил Хлебунов. «Массовость же можно оценить по росту количества выплат. А вот стоимость уязвимости вырастет, после того как компании станут уверены, что основное исправили и остались уж совсем критические и сложные для эксплуатации», — добавил он.

Рост количества компаний, запускающих собственные bug bounty программы, объясняется тем, что классические методы безопасной разработки не могут полностью исключить все риски и гарантировать отсутствие уязвимостей, говорит Блезнеков. Когда компания привлекает внешних исследователей, которые мыслят как потенциальные злоумышленники и ищут любые лазейки в безопасности, она получает гораздо более полную и объективную картину уязвимостей, отмечает он.

Увеличение числа кибератак на 5-15% в квартал и ущерб от них более чем в 170 млрд руб. в 2024 г. заставили компании искать новые инструменты безопасности, отмечает директор департамента T.Hunter Игорь Бедеров. Но в России средние выплаты белым хакерам значительно ниже, чем на международных платформах, например Hackerone, что связанно с ограниченностью бюджетов российских компаний, и особенно госсектора, говорит он. На зарубежных платформах выше концентрация опытных исследователей и больше программ с крупными бюджетами, добавил Бедеров.

Источник: https://www.vedomosti.ru/technology/articles/2025/08/26/1134095-poisk-uyazvimostei-prines-belim-hakeram-270-mln 

Ведомости

Ведомости

Ведущее деловое издание России

Впервые в России

Защита от DDoS‑атак на автопилоте

Представляем уникальный модуль DosGate Autopilot, который автоматически создаёт правила фильтрации

Подробнее