Баг-баунти (с англ. «награда за ошибку») ― это конкурс, по условиям которого хакеры за вознаграждение ищут и устраняют уязвимые места в цифровых продуктах бизнеса.
Телеграм-канал Словаря
Больше не надо тратить время
на дизайн и тексты писем.
ИИ‑ассистент всё сделает сам.
Чаще всего баг-баунти проводят на специальных платформах, которые контролируют, чтобы обе стороны выполняли условия конкурса. Благодаря таким проектам компании повышают безопасность своих продуктов, а хакеры зарабатывают сотни тысяч и даже миллионы рублей. Например, общий бюджет баг-баунти за три года на платформе Standoff 365 Bug Bounty составил 242 млн рублей, а самая большая выплата была в 2025 году ― почти 4 млн рублей.
Программы баг-баунти на Standoff 365 Bug Bounty. Как видно, услугами белых хакеров пользуются даже федеральные службы
Баг-баунти проходят по единой схеме. Сперва компания публикует на платформе подробное описание конкурса, в котором определяет:
- предмет исследования ― сайт, приложение или инфраструктура;
- тип уязвимостей ― например баги с кодом и неточности в логике;
- условия вознаграждения ― плата за разные виды найденных багов;
- правила участия ― компания может запретить наносить реальный ущерб продукту или разглашать конфиденциальные данные пользователей.
Участвовать в программах, которые размещены на площадках баг-баунти, могут только верифицированные хакеры. Они подают заявку, а затем описывают найденные ошибки и инструкции по их устранению в подробном отчете. Компания внедряет улучшение и, если все работает, отправляет вознаграждение хакеру.
Интересный факт
В конце XVIII века лондонская компания Bramah & Co разместила на витрине своего магазина замок с необычной табличкой. Надпись на ней обещала вознаграждение в 200 гиней тому, кто сможет его взломать. Это был один из прообразов баг-баунти.
Тот самый замок сейчас находится в коллекции Музея науки в Лондоне. Кстати, спустя 60 лет его все-таки вскрыл американец Альфред Чарльз Хоббс. Источник
В современном виде баг-баунти впервые запустили в 1995 году. Netscape предложила денежные вознаграждения хакерам, которые найдут уязвимости в браузере Netscape Navigator 2.0. Со временем эту практику переняли и другие технологические гиганты: Google, Microsoft и Facebook*. А Meta c 2011 года потратила на баг-баунти около $16 млн.
Баг-баунти ― это не только инструмент безопасности, но и серьезное преимущество на рынке. Потенциальные клиенты с большей вероятностью выберут компанию, которая регулярно проводит такие проверки, особенно если им придется предоставлять персональные данные. В первую очередь это касается банковских, государственных и медицинских сервисов, так как они хранят самое большое количество конфиденциальной информации.
Кроме того, конкурс с крупным выигрышем — громкий инфоповод, который может привлечь внимание к бренду. А постоянная работа над безопасностью позволит избежать общественных скандалов и ухудшения репутации из-за утечки данных.
Главные мысли
