Яндекс выплатил этичным хакерам 70 млн рублей в 2023 году
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Яндекс выплатил этичным хакерам 70 млн рублей в 2023 году

Екатерина Быстрова 12 Марта 2024 - 11:14
...
Яндекс выплатил этичным хакерам 70 млн рублей в 2023 году

Представители Яндекс сообщили, что корпорация в 2023 году выплатила «белым» хакерам 70 миллионов рублей за уязвимости, найденные в сервисах и инфраструктуре техногиганта.

Интересно, что показатели аналогичных выплат за 2022 год почти вдвое меньше. Компания связывает это с запуском конкурсов по различным направлениям программы Bug Bounty с повышенными выплатами.

Так, в конкурсах иногда можно получить суммы, в десять раз превышающие обычные вознаграждения. Помимо этого, отмечается рост числа участников охоты за багами.

Один из конкурсов, которые Яндекс приводит в пример, был посвящён защите пользовательских данных: исследователи пытались найти бреши, способные привести к раскрытию конфиденциальной информации.

В этом году корпорация планирует выделить не менее 100 миллионов рублей на выплаты этичным хакерам. Яндекс рассчитывает привлечь больше внешних специалистов и дополнительно усилить безопасность своих сервисов. Итоги Bug Bounty за 2023 год представлены на инфографике:

 

В общей сложности в программе участвовали 528 экспертов, которые сгенерировали 763 отчёта о багах (378 были уникальными). Все критические уязвимости разработчики уже устранили.

Самые крупные выплаты составили 12 млн, 7,5 млн и 3,7 млн рублей.

Напомним, в конце прошлого месяца Яндекс ID ввёл аутентификацию с помощью сканирования отпечатка пальца или лица.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В Apache OpenOffice закрыли RCE-уязвимость, связанную с импортом файлов CSV
Татьяна Никитина 12 Ноября 2025 - 16:28
Уязвимости программ Домашние пользователиКорпорации
В Apache OpenOffice закрыли RCE-уязвимость, связанную с импортом файлов CSV

Анонсирован выпуск Apache OpenOffice 4.1.16, устраняющий семь уязвимостей в популярном разноязычном продукте. Найденным проблемам подвержены все прежние сборки пакета, пользователям рекомендуется произвести обновление.

Пропатченные версии доступны в загрузках на openoffice.org для Linux, macOS и Windows, в последнем случае — также через Microsoft Store. В новый релиз включены исправления багов и другие усовершенствования.

Перечень закрытых уязвимостей приведен в сопроводительной записке; попыток их применения в атаках пока не замечено:

  • CVE-2025-64401 — отсутствие авторизации по внешним ссылкам в документах позволяет загрузить в систему любой контент через iFrame;
  • CVE-2025-64402 — та же ошибка открывает возможность несанкционированных загрузок через OLE-объект;
  • CVE-2025-64403 — возможность несанкционированных загрузок из сторонних источников по внешним ссылкам в таблицах OpenOffice Calc;
  • CVE-2025-64404 — возможность загрузки стороннего контента по внешним ссылкам через фоновые картинки и bullet-графику в документах;
  • CVE-2025-64405 — возможность сторонних загрузок через DDE-ссылки в документах OpenOffice Calc;
  • CVE-2025-64406 — возможность записи за границей буфера при импорте CSV-файлов, позволяющая вызвать отказ приложения либо порчу памяти, которую можно использовать для выполнения вредоносного кода (RCE);
  • CVE-2025-64407 — отсутствие запроса разрешения на загрузку по внешним ссылкам в документах позволяет получить несанкционированный доступ к системной информации (переменным окружения, конфигурационным данным).

Стоит отметить, что RCE-уязвимости в широко используемом пакете с открытым исходным кодом стали довольно редким явлением. Последний раз такие дыры в Apache OpenOffice латали в 2021 году.

Высокая популярность опенсорсного проекта привлекла внимание злоумышленников. В конце прошлого месяца вымогатели Akira объявили о взломе серверов Apache OpenOffice и краже 23 Гбайт внутренних данных, в том числе ПДн разработчиков, финансовой информации и отчетов о багах. Исходники набора офисных программ, судя по всему, не пострадали.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Microsoft выпустила срочный фикс после сбоя в Windows Recovery
Новость
Microsoft выпустила срочный фикс после сбоя в Windows Recove...
В Yoast SEO Premium для WordPress нашли XSS-уязвимость
Новость
В Yoast SEO Premium для WordPress нашли XSS-уязвимость
Критическая уязвимость OnePlus OxygenOS раскрывает ваши СМС и MFA-коды
Новость
Критическая уязвимость OnePlus OxygenOS раскрывает ваши СМС...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.