Итоги года на Standoff Bug Bounty: 32% находок — уязвимости высокого и критического уровня опасности

За год число программ на платформе выросло более чем в два раза, а средние выплаты специалистам увеличились на 12%

Positive Technologies, один из лидеров в области результативной кибербезопасности, подвела итоги работы площадки Standoff Bug Bounty за 2025 год. На платформе кратно увеличилось число исследователей, программ и найденных уязвимостей, уровень опасности каждого третьего найденного недостатка оценивался как высокий и критический. Рекордсменом стал офлайн-бизнес[1]: в этом секторе 37% принятых отчетов содержали данные о багах, представляющих наибольший риск.

Количество багхантеров, зарегистрированных на платформе, достигло 32 тысяч, увеличившись за 2025 год на 74%. Согласно отчету, большая часть исследователей участвует в программах багбаунти от одного года до трех лет, а каждый пятый багхантер имеет более длительный опыт работы в этой сфере. В качестве основных факторов мотивации специалисты отмечают не только получение денежных выплат (92%), но также развитие навыков и накопление опыта (76%), укрепление профессиональной репутации и обретение признания в сообществе (54%).

«Быстрорастущее сообщество багхантеров на нашей платформе разнородно с точки зрения опыта и занятости. Это особенно ценно для краудсорсинговой модели как инструмента киберзащиты бизнеса, —отметилАзиз Алимов, руководитель Standoff Bug Bounty. — Наше исследование показало, что две трети компаний запускают багбаунти прежде всего для превентивного укрепления безопасности, считая такие программы элементом системной защиты. Например, в 2025 году на Standoff Bug Bounty было представлено 233 программы по поиску уязвимостей — это в 2,2 раза больше, чем в 2024 году. Положительная динамика подтверждает, что багбаунти — это инвестиция в устойчивость, надежность и зрелость процессов ИБ. Такой подход оправдывает ожидания: бизнес выявляет критически опасные уязвимости, лучше видит поверхность атаки, совершенствует взаимодействие между командами разработки и безопасности, что в итоге снижает уровень рисков».

За год багхантеры сдали в общей сложности 7870 отчетов — на 61% больше, чем годом ранее. Среди них было 2909 уникальных и принятых к оплате, что на 34% превышает показатель 2024 года. Общая доля уязвимостей высокого и критического уровня опасности составила 32%, на 1 п. п. превысив показатель предыдущего года. Самый актуальный класс багов за все время работы платформы — недостатки контроля доступа: в 2025 году к этому типу отнесено 58% всех уязвимостей высокой и критической степени опасности.

С увеличением количества отчетов вырос и уровень вознаграждений. Общий объем вознаграждений исследователям составил более 160 млн рублей (на 49% больше, чем за 2024 год). Максимальная награда на площадке составила 4 970 800 рублей, что на 26% больше аналогичного показателя годом ранее, а средняя выплата за принятый отчет превысила 65 тыс. рублей (рост — 12%). При этом за 2025 год 43 исследователя заработали более 1 млн рублей, а шесть из них — свыше 5 млн рублей.

В исследовании также отмечается, что в 2025 году наибольшее число программ на Standoff Bug Bounty запускали компании, имеющие цифровые площадки и инфраструктуры с множеством пользователей и сложной бизнес-логикой — контент-платформы[2] (19% всех программ), корпоративные и SaaS-платформы[3] (18%).

Самыми привлекательными для багхантеров оказались инфраструктуры финансовых сервисов, контент-платформ и решений, связанных с торговлей и электронной коммерцией. На их долю приходится почти половина всех принятых отчетов (49%). При этом наибольшая доля суммарных выплат (24%) в 2025 году пришлась на контент-платформы, а самые щедрые вознаграждения выплачивали владельцы корпоративных и SaaS-платформ (средняя выплата превысила 115 тыс. рублей).