Standoff Bug Bounty помогла выявить рекордное количество уязвимостей

Standoff Bug Bounty помогла выявить рекордное количество уязвимостей

Standoff Bug Bounty помогла выявить рекордное количество уязвимостей

В 2024 году на платформе Standoff Bug Bounty было принято 1926 отчетов об уязвимостях, что на 43% больше, чем в 2023 году. Общая сумма выплаченных вознаграждений с момента запуска платформы достигла 158 млн рублей, а средняя выплата за один отчет за год выросла на 13% — до 58 тыс. рублей.

Отчеты о высокоопасных и критических уязвимостях составили 31% от общего числа — это более чем вдвое превышает аналогичные показатели крупнейших зарубежных платформ, например HackerOne, где эта доля составляет 15%.

Наибольшее число выявленных уязвимостей (42%) было связано с недостатками контроля доступа, половина из которых относилась к категории высокоопасных и критических.

Эти проблемы преимущественно обнаруживались в программах компаний, предоставляющих услуги электронной коммерции, финансовых и онлайн-сервисов. Второе место заняли уязвимости, связанные с внедрением вредоносного кода (22%), третье — архитектурные и логические ошибки (9%).

Лидеры по выплатам

Компании, разрабатывающие онлайн-сервисы, выделили 37% от общего объема вознаграждений и предложили самые высокие средние выплаты — 104 тыс. рублей за отчет. Каждое десятое вознаграждение в этой отрасли превышало 157 тыс. рублей.

Финансовый сектор также назначал стабильно высокие выплаты: за каждый десятый отчет исследователи получали 190,1 тыс. рублей и более, а половина вознаграждений составляла свыше 20 тыс. рублей.

Максимальная выплата за одну найденную уязвимость в 2024 году была зафиксирована у компании VK и составила 3,96 млн рублей. За год 16 исследователей заработали на платформе более 1 млн рублей, из которых трое — более 7 млн рублей.

Анализ активности

В 2024 году на платформе было размещено 84 программы от компаний из различных отраслей. Больше всего отчетов (26%) поступило от исследователей, анализировавших инфраструктуру розничной торговли и электронной коммерции. Лидерами сегмента стали маркетплейсы:

  • Wildberries — более 600 отчетов, выплаты составили 5,7 млн рублей.
  • Ozon — не менее 300 отчетов, выплаты исследователям превысили 5,5 млн рублей.

Высокую активность также демонстрировали программы онлайн-сервисов, финансовых компаний, медиа и развлекательной индустрии, а также госучреждений.

Комментарий руководства

«Доля отчетов о критически опасных уязвимостях выросла до 12%, что подчеркивает высокий профессионализм пользователей платформы и эффективность работы Standoff Bug Bounty. Увеличение выплат за высокоопасные уязвимости мотивирует исследователей сотрудничать, что способствует повышению уровня защиты цифровой инфраструктуры компаний. Наша платформа продолжает быть связующим звеном между бизнесом и сообществом белых хакеров, предоставляя уникальные возможности для развития кибербезопасности на глобальном уровне», — отметил Анатолий Иванов, руководитель Standoff Bug Bounty.

Каждая пятая утечка уже связана с теневым использованием ИИ

Сотрудники всё чаще отправляют рабочие данные в нейросети быстрее, чем службы ИБ успевают понять, что вообще происходит. По данным «Информзащиты», в июле 2026 года уже 20% организаций, столкнувшихся с утечками, хотя бы частично связали инциденты с несанкционированным использованием ИИ. Годом ранее таких случаев было около 12%.

И это не безобидное попросил чат-бота поправить письмо. В публичные ИИ-сервисы загружают договоры, исходный код, внутреннюю переписку, клиентские обращения и техническую документацию.

На веб-интерфейсы нейросетей приходится около 42% подобных инцидентов. Ещё 24% утечек связаны с браузерными расширениями и ИИ-помощниками.

Они получают доступ к вкладкам, истории сессий и cookie, а потом тихо делают то, на что им когда-то нажали «Разрешить». Самостоятельно подключённые API и библиотеки дают ещё 19%, инструменты для программирования — 15%.

Проблема в том, что классические средства защиты часто не видят ничего подозрительного. Домен легитимный, TLS работает, вредоносной сигнатуры нет. Только конфиденциальный документ уже уехал во внешний сервис.

Почти у трети компаний, использующих ИИ, находят хотя бы один API-ключ или секрет в небезопасном месте: конфигурациях, тестовых скриптах, рабочих станциях и Git-репозиториях. Получив такой ключ, атакующий может не только потратить чужой бюджет, но и добраться до подключённых баз данных и RAG-хранилищ.

Дороже всего здесь обходится позднее обнаружение. Инциденты с теневым ИИ в среднем увеличивают ущерб примерно на $670 тыс.

Эксперты советуют начинать не с тотальных запретов, а с инвентаризации сервисов, поиска ключей, контроля расширений и классификации данных. Потому что запретить ChatGPT приказом легко. Гораздо сложнее заметить, что сотрудник уже загрузил туда половину проекта.

RSS: Новости на портале Anti-Malware.ru