За год число программ на платформе выросло более чем в два раза, а средние выплаты специалистам увеличились на 12%
Positive Technologies, один из лидеров в области результативной кибербезопасности, подвела итоги работы площадки Standoff Bug Bounty за 2025 год. На платформе кратно увеличилось число исследователей, программ и найденных уязвимостей, уровень опасности каждого третьего найденного недостатка оценивался как высокий и критический. Рекордсменом стал офлайн-бизнес1: в этом секторе 37% принятых отчетов содержали данные о багах, представляющих наибольший риск.
1 К офлайн-бизнесу в отчете отнесены компании, в которых информационные технологии выполняют только поддерживающую функцию. Это организации из сферы ритейла, медицины, производства и логистики.
Количество багхантеров, зарегистрированных на платформе, достигло 32 тысяч, увеличившись за 2025 год на 74%. Согласно отчету, большая часть исследователей участвует в программах багбаунти от одного года до трех лет, а каждый пятый багхантер имеет более длительный опыт работы в этой сфере. В качестве основных факторов мотивации специалисты отмечают не только получение денежных выплат (92%), но также развитие навыков и накопление опыта (76%), укрепление профессиональной репутации и обретение признания в сообществе (54%).
«Быстрорастущее сообщество багхантеров на нашей платформе разнородно с точки зрения опыта и занятости. Это особенно ценно для краудсорсинговой модели как инструмента киберзащиты бизнеса. Наше исследование показало, что две трети компаний запускают багбаунти прежде всего для превентивного укрепления безопасности, считая такие программы элементом системной защиты. Например, в 2025 году на Standoff Bug Bounty было представлено 233 программы по поиску уязвимостей — это в 2,2 раза больше, чем в 2024 году. Положительная динамика подтверждает, что багбаунти — это инвестиция в устойчивость, надежность и зрелость процессов ИБ. Такой подход оправдывает ожидания: бизнес выявляет критически опасные уязвимости, лучше видит поверхность атаки, совершенствует взаимодействие между командами разработки и безопасности, что в итоге снижает уровень рисков».
Азиз АлимовРуководитель Standoff Bug Bounty
За год багхантеры сдали в общей сложности 7870 отчетов — на 61% больше, чем годом ранее. Среди них было 2909 уникальных и принятых к оплате, что на 34% превышает показатель 2024 года. Общая доля уязвимостей высокого и критического уровня опасности составила 32%, на 1 п. п. превысив показатель предыдущего года. Самый актуальный класс багов за все время работы платформы — недостатки контроля доступа: в 2025 году к этому типу отнесено 58% всех уязвимостей высокой и критической степени опасности.
С увеличением количества отчетов вырос и уровень вознаграждений. Общий объем вознаграждений исследователям составил более 160 млн рублей (на 49% больше, чем за 2024 год). Максимальная награда на площадке составила 4 970 800 рублей, что на 26% больше аналогичного показателя годом ранее, а средняя выплата за принятый отчет превысила 65 тыс. рублей (рост — 12%). При этом за 2025 год 43 исследователя заработали более 1 млн рублей, а шесть из них — свыше 5 млн рублей.
В исследовании также отмечается, что в 2025 году наибольшее число программ на Standoff Bug Bounty запускали компании, имеющие цифровые площадки и инфраструктуры с множеством пользователей и сложной бизнес-логикой — контент-платформы2 (19% всех программ), корпоративные и SaaS-платформы3 (18%).
2 К контент-платформам отнесены социальные сети, медиа- и развлекательные сервисы, рекламные и образовательные платформы.
Самыми привлекательными для багхантеров оказались инфраструктуры финансовых сервисов, контент-платформ и решений, связанных с торговлей и электронной коммерцией. На их долю приходится почти половина всех принятых отчетов (49%). При этом наибольшая доля суммарных выплат (24%) в 2025 году пришлась на контент-платформы, а самые щедрые вознаграждения выплачивали владельцы корпоративных и SaaS-платформ (средняя выплата превысила 115 тыс. рублей).
3 В категорию корпоративных и SaaS-платформ объединены корпоративные порталы, сервисы для совместной работы, платформы видео-конференц-связи и облачные решения для бизнеса.
