Выплаты по программе Bug Bounty в России выросли на 49% до 161 млн руб

Выплаты белым хакерам по программе Bug Bounty выросли на 49 до 161 млн руб отмечают эксперты Positive Technologies Standoff Bug Bounty Максимальная единоразовая выплата составила без малого 5 млн руб В среднем независимые эксперты за обнаруженные уязвимости получали 65 4 тыс руб на 12 больше чем в 2024 году При сохранении динамики по прогнозам объем этого рынка может достичь 1 млрд руб в течение трех лет Активнее всего к программам поиска уязвимостей подключаются компании из сферы онлайн услуг IT и госсектора однако отрасль по прежнему существует в правовом вакууме Скорее всего наиболее реалистичной для России станет мягкая модель с рекомендациями регуляторов например от ФСТЭК или Минцифры и возможным переходом к саморегулированию в отрасли полагает адвокат Forward Legal Сергей Кокорев Тренды телекома Коротко и по делу Подписывайтесь

Общие выплаты белым хакерам только на ключевых платформах по итогам 2025 года достигли сотен миллионов рублей увеличившись почти вдвое по сравнению с предыдущим годом По прогнозам экспертов объем этого рынка может достичь 1 млрд рублей в течение трех лет Активнее всего к программам поиска уязвимостей подключаются компании из сферы онлайн услуг IT и госсектора

По данным Positive Technologies в прошлом году по программе Bug Bounty белым хакерам выплатили 161 млн руб что на 49 больше чем за 2024 г Максимальная единоразовая выплата составила без малого 5 млн руб При сохраняющейся тенденции расширения числа программ и вовлеченности компаний рынок поиска уязвимостей за вознаграждение может составить 1 млрд руб в ближайшие три года

Только за 2025 год багхантеры нашли 13 690 уязвимостей в системах российских компаний и госучреждений Это данные двух крупнейших отечественных платформ Standoff Bug Bounty и BI Zone Bug Bounty Количество отчетов растет взрывными темпами у Positive Technologies 34 за год 7870 отчетов у BI Zone 20 5800 отчетов Но особенно показательно другое закрыто лишь 2909 уязвимостей на одной платформе и 2500 на другой То есть проблема не в том что уязвимости не находят Проблема в том что их не всегда устраняют вовремя Причем чаще всего специалисты выявляют банальные но опасные ошибки контроля доступа IDOR На BI Zone 35 принятых уязвимостей имели высокий уровень критичности и выше На Standoff Bug Bounty 14 критических и еще 18 высоких Это не абстрактные риски а реальные точки входа для атак Рынок bug bounty при этом стремительно взрослеет За год количество программ выросло кратно 233 программы на платформе Positive Technologies в 2 2 раза больше чем год назад и 150 программ у BI Zone рост в 1 5 раза Крупные компании запускают сразу несколько программ расширяют их от ключевых сервисов к дочерним продуктам Так работают Сбер Альфа банк ГК Астра К этой практике подключается и госсектор в том числе Минцифры Государство кстати уже видит эффект С момента выхода Минцифры на bug bounty площадки исследователи сдали более 700 отчетов принято 271 а выплаты с 2023 года превысили 13 млн рублей Это наглядный пример того как пентестеры работают на безопасность страны здесь и сейчас Растут и выплаты В 2025 году независимым исследователям заплатили 161 млн рублей на платформе Positive Technologies и 100 млн рублей на BI Zone Максимальные вознаграждения доходили до почти 5 млн рублей за одну уязвимость Все это говорит об одном пентестеры и багхантеры в России это уже не энтузиасты а ключевой элемент системы кибербезопасности Бизнес и государство все активнее встраивают их работу в управление цифровыми рисками Bug bounty перестал быть вспомогательным инструментом и стал регулярной превентивной практикой защиты Поэтому важно закрепить правовой статус таких специалистов добиться их легализации Именно этим мы занимаемся сейчас в Госдуме соответствующие законопроекты которые были доработаны с участием отрасли уже находятся в правительстве MAX канал

Ведомости Белые хакеры обнаружили почти 14 тыс уязвимостей в российских компаниях Всего за 2025 белые хакеры смогли найти 13 7 тыс уязвимостей Positive Technologies отметил рост ответов на 34 до 7 9 тыс Компания BI Zone отмечает рост ответов на 20 1 до 5 8 тыс Лидеры по отчетам были финсектор онлайн услуги и IT отрасль На конец 2025 на Positive Technologies было 223 программы х2 2 Сред выплата у Positive Technologies была 65 4 тыс руб 12 Отмечается что макс выплата за прошлый год была 4 97 млн руб Независимые исследователи заработали 161 млн руб х2 На платформе BI Zone действовали 150 программ х1 5 от 2024 Сред размер выплат у BI Zone не изменился и был 40 тыс руб Макс вознаграждение по итогам 2025 составило 1 8 млн руб Всего за год платформа выплатила 100 млн руб 35 ftsec

В прошлом году 43 багхантера нашей платформы Standoff Bug Bounty стали МИЛЛИОНЕРАМИ То есть заработали более миллиона рублей за обнаруженные недостатки безопасности в разных компаниях Кстати шестеро из них заработали каждый больше пяти миллионов рублей за год а максимальная единовременная выплата составила 4 97 млн рублей Платформа показала рост по всем показателям Багхантеры суммарно получили 160 924 226 рублей на 49 больше чем за 2024 год Компании запустили 233 новые программы в 2 2 раза больше чем в 2024 м Количество пользователей достигло 32 000 это на целых 74 больше чем было годом ранее Исследователи сдали 2909 уникальных и принятых отчетов на 34 больше прошлого года Средняя выплата выросла на 12 и составила 65 000 рублей Отдельно отметим формат кибериспытаний который мы запустили в прошлом году это когда исследователи не просто ищут отдельные уязвимости а демонстрируют сценарии которые могут привести к реализации недопустимого события Например к краже крупной суммы денег со счетов тут каждая компания сама определяет для себя измеримую цель По итогам прошлого года 95 принятых отчетов были получены именно в рамках кибериспытаний Причем 61 из них относились к критическому и высокому уровню опасности этот показатель выше чем в стандартных программах Суммарный объем выплат багхантерам в рамках кибериспытаний превысил 42 млн рублей а максимальная единоразовая выплата составила 1 млн рублей Наша практика показывает что компании используют багбаунти прежде всего как превентивную меру и элемент системной защиты И ожидания бизнеса от запуска программ в подавляющем числе случаев оправдываются раньше выявляются опасные уязвимости повышается видимость поверхности атаки улучшается взаимодействие между ИБ и разработкой а уровень рисков снижается Подробнее про итоги работы Standoff Bug Bounty в 2025 году читайте в нашем большом исследовании Standoff365 Positive Technologies

Белые хакеры нашли почти 14 000 уязвимостей в системах российских компаний и госучреждений следует из совокупной статистики двух российских платформ Standoff Bug Bounty Positive Technologies и BI Zone Bug Bounty BI Zone У Positive Technologies общее количество полученных отчетов увеличилось год к году на 34 7870 а у BI Zone на 20 1 5800 При этом количество закрытых уязвимостей составило 2909 у первых и 2500 у вторых Лидерами по количеству сданных отчетов на Standoff Bug Bounty стал финансовый сектор На BI Zone Bug Bounty лидировали онлайн услуги и компании из IT отрасли За 2025 год рынок bug bounty заметно расширился так как организации все чаще стали видеть в нем полноценную часть комплексной системы управления киберрисками отмечает руководитель продукта BI Zone Bug Bounty Андрей Левкин Telegram Max

100 миллионов рублей выплатили багхантерам в 2025 году Сегодня на платформе BI ZONE Bug Bounty представлено более 150 программ За 2025 год было принято 5800 отчетов от независимых исследователей кибербезопасности и выплачено 100 миллионов рублей По сравнению с 2024 годом компании из сферы онлайн услуг выпустили в два раза больше программ Помимо этого выросло число программ от IT сектора а финтех где большинство крупных игроков уже запустили программы сосредоточился на расширении областей тестирования и работе с исследователями Читать подробности

Багхантеры нашли практически 14 тысяч уязвимостей в системах российских компаний за 2025 й год Если верить исследователям то значительная часть находок относится к серьёзным уязвимостям на BI ZONE 35 принятых уязвимостей имели высокий уровень критичности и выше на Standoff Bug Bounty 14 отчётов были признаны критическими а ещё 18 высокими Из статистических данных можно также узнать о том что чаще всего баг хантеры сталкивались с проблемами контроля доступа уязвимостями класса IDOR

43 миллионера багхантера на платформе Standoff Bug Bounty Заинтригованы А теперь давайте вместе подведем итоги работы Standoff Bug Bounty за 2025 год В прошлом году платформа показала рост по всем показателям Было запущено 233 программы в 2 2 раза больше чем годом ранее Рынок багбаунти продолжает расти а к поиску уязвимостей все активнее подключаются не только онлайн сервисы но и оффлайн бизнес ИТ вендоры и государственные организации Хакеры сдали 7870 отчетов из которых 2909 были приняты это 34 к прошлому году Больше всего активности традиционно пришлось на программы финансовых сервисов 2025 год запомнился и новыми рекордами максимальная выплата составила 4 970 800 а средняя награда выросла на 12 и достигла 65 416 Уязвимости контроля доступа по прежнему в фокусе В 2025 году 58 уязвимостей высокого и критического уровня опасности относились именно к этому классу Он остается самым актуальным за все время работы платформы За год через платформу выплачено 160 924 226 это 49 по сравнению с 2024 годом Кроме того мы не только подвели итоги В этом году команда Standoff Bug Bounty провела полноценное исследование рынка багбаунти мы разобрали ключевые тренды мотивацию компаний и то какие программы действительно привлекают хакеров Но главным достижением за все годы работы платформы остаетесь вы комьюнити Спасибо за ваш вклад А подробнее про итоги работы Standoff Bug Bounty в 2025 году читайте в нашем большом исследовании