Кто сколько платит за чужие ошибки — от мессенджера MAX до облачных гигантов
Российские компании раскошелились. В 2026 году программы bug bounty (поиск уязвимостей за деньги) перестали быть экзотикой и превратились в тренд. ИТ-гиганты, банки, облачные провайдеры — все ищут белых хакеров, готовых копаться в их коде за солидное вознаграждение. Рассказываем, кто сколько платит и что нашли в главном российском мессенджере.
Мессенджер MAX: больше 200 дыр и почти 22 миллиона
Национальный мессенджер MAX, который продвигают как замену ушедшим западным аналогам, запустил программу Bug Bounty 1 июля 2025 года. И белые хакеры его раскурочили. Технический директор Positive Technologies по развитию госсектора Алексей Батюк на выставке «Связь-2026» огласил цифры: 213 отчётов об уязвимостях.
Но это только на одной платформе Standoff365. По состоянию на 10 апреля 2026 года туда поступило 454 отчёта, из них приняли 288. Общая сумма выплат почти достигла 22 миллионов рублей при средней выплате 349 тысяч. За последние 90 дней выплатили 9,5 миллиона. Плюс ещё около 1,5 миллиона ушло через площадки Bi.Zone и «Киберполигон».
Чаще всего в MAX находят уязвимости класса IDOR (Insecure Direct Object Reference). Это когда можно подменить идентификатор объекта — ID сообщения, чата или пользователя — и получить доступ к чужим данным. В Центре безопасности MAX поспешили успокоить: каждый отчёт проверяют, уязвимости закрывают в приоритетном порядке, а сама программа — мировой стандарт и признак зрелости продукта. «Попытки подать сам факт обнаружения уязвимостей как сенсацию искажают смысл этих программ», — заявили в компании.
Облака и серверы: миллион за доступ к узлам
Облачный провайдер Cloud.ru в январе 2026-го запустил программу на платформе BI.ZONE Bug Bounty с выплатами до 400 тысяч рублей. Баг-хантеры проверяют продукты облачной платформы Cloud.ru Evolution, включая Evolution AI Factory — среду для генеративных нейросетей.
Timeweb пошёл дальше. В марте 2026-го провайдер повысил ставки до 1 миллиона рублей за критическую уязвимость в сервисе Managed Kubernetes. За выход на управляющие узлы, которые контролируют всю инфраструктуру платформы, заплатят миллион. За нарушение границ между кластерами или ошибки в конфигурации — до 500 тысяч. «Новая программа привлечет лучших исследователей страны. Она направлена только на ИТ-инфраструктуру, доступ к данным клиентов исключен», — заверил руководитель продуктового отдела безопасности Timeweb Андрей Жариков. Компания участвует в баг-баунти с весны 2023 года и уже получила более 700 отчётов.
K2 Cloud в марте 2026-го перевёл программу в открытый формат. Максимальное вознаграждение — 500 тысяч рублей, что в 1,7 раза выше, чем на старте закрытого этапа.
Банки и работные сайты: деньги за критический баг
HeadHunter (hh.ru) в феврале 2026-го вышел в открытый баг-баунти на площадке Standoff. За критическую уязвимость платят до 500 тысяч рублей, за высокую — до 250 тысяч. «Мы — одна из крупнейших площадок для поиска работы, и нам есть что терять, — заявил руководитель кибербезопасности HeadHunter Михаил Щербаков. — Когда компания понимает ценность своих данных, она сопоставляет риски и ищет эффективные инструменты защиты».
Альфа-Банк — старожил рынка. С момента запуска программы на BI.ZONE Bug Bounty банк выплатил независимым исследователям более 12 миллионов рублей и принял более 340 отчётов. Под колпаком у хакеров — «Альфа-Онлайн», «Альфа-Инвестиции Онлайн», «Альфа-Бизнес» и ещё более 30 сервисов. «340 принятых отчетов — это не статистика, а отражение нашего подхода: мы не избегаем уязвимостей, а системно стимулируем их поиск», — прокомментировал руководитель дирекции безопасности цифровых решений Альфа-Банка Дмитрий Кузнецов.
VK и бонусы: чем больше находишь, тем выше процент
VK внедрила накопительную систему. В программе VK Bug Bounty с каждым новым оплачиваемым отчётом можно получить до +5% к следующему вознаграждению. Бонус зависит от критичности: 1% — без угрозы, 2% — низкий, 3% — средний, 4% — высокий, 5% — критический. Все бонусы суммируются и действуют год. Четыре оплаченных отчёта с разным уровнем угрозы могут дать суммарно +15%. А ещё VK дарит мерч: все, кто сдаст четыре оплаченных отчёта или получит вознаграждение больше 400 тысяч рублей в квартал, получат набор уникальных призов.
Российский рынок баг-баунти рванул. ИТ-сектор, финансы, госпроекты — все хотят, чтобы белые хакеры копались в их коде. И платят за это по-настоящему большие деньги. Если вы умеете взламывать и чинить, сейчас лучшее время, чтобы не сидеть в подполье, а зарабатывать легально. Компании сами просят: поломайте нас. И заплатят.