hh.ru платит до 500 тысяч за критические уязвимости

Екатерина Быстрова 16 Февраля 2026 - 13:40

Домашние пользователи

Корпорации

Средства поиска уязвимостей

Bug Bounty

Уязвимости сайтов

Уязвимости программ

...

hh.ru платит до 500 тысяч за критические уязвимости

HeadHunter выходит в открытый баг-баунти. Теперь проверить сервисы крупнейшей российской платформы онлайн-рекрутинга на прочность смогут все желающие исследователи безопасности на площадке Standoff Bug Bounty. Компания привлекает независимых баг-хантеров к тестированию своей инфраструктуры, сервисами HeadHunter ежемесячно пользуются около 18 млн человек, так что на кону действительно много.

За самые опасные находки обещают до 500 тысяч рублей.

В рамках публичной программы можно исследовать ключевые цифровые активы компании: основной сайт hh.ru, облачную CRM-систему для рекрутинга Talantix и профессиональную соцсеть «Сетка».

Вознаграждение зависит от уровня критичности уязвимости. За баги критического уровня — до 500 тысяч рублей, за уязвимости высокой степени опасности — до 250 тысяч.

До этого HeadHunter тестировала формат в приватном режиме, а также участвовала в закрытом мероприятии для баг-хантеров на Standoff Bug Bounty. Тогда исследователям суммарно выплатили более 920 тысяч рублей.

«Мы — одна из крупнейших площадок для поиска работы, и нам есть что терять, — отметил руководитель кибербезопасности HeadHunter Михаил Щербаков. — Когда компания понимает ценность своих данных и сервисов, она неизбежно сопоставляет риски и ищет эффективные инструменты защиты. hh.ru сделан для людей, и нам важно, чтобы их базовая потребность в безопасности распространялась и на цифровую жизнь. Поэтому мы вышли в баг-баунти. Для любой технологической компании это должна быть стандартная практика».

В компании добавляют, что особенно заинтересованы в «интересных кейсах» — нестандартных и сложных уязвимостях. По их словам, независимые исследователи со Standoff Bug Bounty уже находили критичные для бизнеса проблемы, за которые получали вознаграждения в диапазоне 400–500 тысяч рублей.

Похоже, HeadHunter решила сделать ставку на открытость: чем больше внимательных глаз смотрят на инфраструктуру, тем выше шансы вовремя закрыть уязвимость.

Следующая главная новость »

Secrets Management 2026: где на самом деле сливаются ключи? Регистрируйтесь на эфир AM Live!

Екатерина Быстрова 17 Февраля 2026 - 09:03

Уязвимости программ Домашние пользователи Корпорации Менеджеры паролей

Специалисты нашли 25 векторов атак на Bitwarden, LastPass и Dashlane

Исследователи из ETH Zurich и Università della Svizzera italiana заявили: популярные облачные менеджеры паролей — Bitwarden, LastPass и Dashlane — при определённых условиях уязвимы к атакам, которые могут привести к восстановлению паролей и даже компрометации целых хранилищ.

Речь идёт о сценарии со «злонамеренным сервером».

Специалисты решили проверить, насколько на практике работают обещания zero-knowledge encryption (ZKE) — модели, при которой провайдер не должен иметь доступа к содержимому пользовательского хранилища. В теории сервер ничего «не знает» о ваших данных. На практике всё оказалось сложнее.

В ходе исследования выявили 12 типов атак против Bitwarden, семь — против LastPass и шесть — против Dashlane. Диапазон последствий — от нарушения целостности отдельных записей до полной компрометации всех хранилищ в организации. В общей сложности эти сервисы обслуживают более 60 млн пользователей и около 125 тыс. компаний.

По словам авторов работы, проблемы связаны с архитектурными анти-паттернами и криптографическими ошибками. Среди выявленных сценариев — атаки на механизм восстановления доступа (key escrow), уязвимости в поэлементном шифровании (когда данные и метаданные защищены по-разному), риски, связанные с функциями совместного доступа, а также downgrade-атаки из-за поддержки устаревших механизмов шифрования.

Исследование также затронуло 1Password. Авторы указали на уязвимости, связанные с моделью поэлементного шифрования и шарингом, однако в компании заявили, что речь идёт об уже известных архитектурных ограничениях. В 1Password подчеркнули, что не обнаружили новых векторов атак сверх задокументированных и продолжают усиливать защиту, включая использование протокола Secure Remote Password (SRP).

Bitwarden, Dashlane и LastPass сообщили, что внедряют или уже внедрили меры по снижению рисков. Dashlane, например, устранила проблему, позволявшую при компрометации серверов понизить модель шифрования, отказавшись от поддержки устаревшей криптографии в версии расширения 6.2544.1 (ноябрь 2025 года).

Bitwarden заявила, что большинство выявленных вопросов уже закрыты или находятся в стадии исправления. LastPass пообещала усилить механизмы контроля целостности данных и доработать процессы сброса паролей и шаринга.

Важно: на данный момент нет доказательств того, что эти уязвимости эксплуатировались в реальных атаках.

Secrets Management 2026: где на самом деле сливаются ключи? Регистрируйтесь на эфир AM Live!