Белые хакеры нашли почти 14 тысяч ИТ-уязвимостей в российских компаниях

В 2025 г. белые хакеры нашли 13 690 ИТ-уязвимостей в ИТ-системах российских компаний и государственных учреждений. Рынок баг-баунти за год заметно подрос, но при этом далеко не все найденные проблемы были оперативно закрыты. На онлайн-платформе Positive Technologies количество полученных отчетов увеличилось на 34%, у Bi.Zone рост составил 20,1%.

Обнаружение ИТ-уязвимостей

Белые хакеры обнаружили почти 14 тыс. ИТ-уязвимостей в российских компаниях, пишут «Ведомости». Заказчики стали в два раза чаще обращаться к крупнейшим отечественным онлайн-платформ Bug Bounty в качестве превентивной защиты.

Всего за 2025 г. белыми хакерами, или багхантерами, было найдено 13 690 ИТ-уязвимостей в различных системах российских компаний и государственных учреждений, следует из совокупной статистики двух российских ИТ-платформ — Standoff Bug Bounty (Positive Technologies) и Bi.Zone Bug Bounty (Bi.Zone). Оба отчета есть в распоряжении «Ведомостей».

Bug Bounty — это программа, в рамках которой компания официально приглашает исследователей по кибербезопасности - багхантеров - искать ИТ-уязвимости в своих ИТ-продуктах, онлайн-сервисах или ИТ-инфраструктуре. За каждую подтвержденную находку багхантер получает денежное вознаграждение.

Представитель Positive Technologies уточнил, что общее количество полученных отчетов увеличилось год к году на 34% (7870), а у Bi.Zone на 20,1% (5800). При этом количество закрытых ИТ-уязвимостей составило 2909 у первых, и 2500 у вторых. Лидерами по количеству сданных отчетов на Standoff Bug Bounty стал финансовый сектор, а на Bi.Zone Bug Bounty лидировали онлайн-услуги и компании из ИТ-отрасли.

Unsplash - Danny Lines Белая шляпа - символ «белых хакеров» — профессионалов, зарабатывающих обнаружением уязвимостей

Белый хакер или пентестер — это ИТ-специалист по информационной безопасности (ИБ). Он проводит пентесты (от penetration test — тест на проникновение), находит и устраняет уязвимости в ИТ-инфраструктуре компании. В отличие от обычных хакеров, он находит баги по запросу бизнеса и официально получает за это деньги.

Увеличилось и общее количество доступных на ИТ-платформах программ по поиску ИТ-уязвимостей внутри инфраструктуры отдельных компаний. На конец 2025 г. на онлайн-платформе Positive Technologies действовало 233 программы (в 2,2 раза больше, чем в 2024 г.), а на онлайн-платформе Bi.Zone — 150 программ (в 1,5 раза больше, чем годом ранее).

Суммы выплат

У Positive Technologies средняя выплата в 2025 г. составила 65 416 руб., что на 12% больше, чем в 2024 г., а максимальная — 4,971 млн руб., но компанию, выплатившую такую сумму, представитель Positive Technologies не назвал.

Итоговая сумма выплат независимым исследователям за 2025 г. увеличилась год к году в два раза и составила 161 млн руб. В то же время у Bi.Zone средний размер выплаты не изменился год к году и держится на уровне 40 тыс. руб., а максимальное вознаграждение составило 1,8 млн руб., рассказал представитель Positive Technologies «Ведомостям». Всего за год онлайн-платформой было выплачено багхантерам на 35% больше, чем в 2024 г., — 100 млн руб.

Unsplash - Mohammad Rahmani Суммы выплат

Разница выплат на онлайн-платформах зависит от вилок выплат и «свежести» программы, поясняет генеральный директор BugBountyRu Лука Сафонов: на площадке Bi.Zone много федеральных государственных унитарных предприятий (ФГУП) с критично малыми максимальными выплатами, например программы Республики Татарстан и Тульской области.

Согласно данным Министерства цифрового развития, связи и массовых коммуникаций (Минцифры) в декабре 2025 г., с момента выхода министерства на Bug Bounty онлайн-площадки исследователями было сдано более 700 отчетов, из которых был принят 271. С 2023 г. Минцифры выплатило исследователям за найденные уязвимости более 13 млн руб.

Оценка ИТ-уязвимостей

Исследователи обычно регистрируются сразу на нескольких онлайн-платформах и берутся за интересные им компании с наибольшими выплатами или за те компании, где ИТ-уязвимости им по силам, но ценник меньше, уточняет директор центра киберзащиты Cloud.ru Сергей Волков. Размер выплат зависит от разных факторов, уточняет он, основным критерием является значимость найденной ИТ-уязвимости, ее влияние на бизнес заказчика и масштаб потенциальных последствий ее эксплуатации.

Публикуя информацию об ИТ-уязвимости, белые хакеры могли указать уровень ее критичности. По оценкам багхантеров на площадке Bi.Zone, 35% принятых ИТ-уязвимостей имели уровень критичности высокий и выше. В то же время на онлайн-площадке Positive Technologies 14% принятых отчетов имели критический, а 18% — высокий уровень ИТ-уязвимостей. Среди всех отраслей чаще всего исследователи на обеих площадках сталкивались с ИТ-уязвимостями, связанными с недостаточным контролем доступа в системах (IDOR).

2025 г. был характерен тем, что Bug Bounty программы перешли из вспомогательного инструмента в повсеместную практику, говорит руководитель Standoff Bug Bounty Азиз Алимов. Bug bounty все чаще используется превентивно как часть регулярной модели защиты, отметил он.