Платформа Standoff Bug Bounty подвела итоги 2025 года: треть найденных уязвимостей — высокого и критического уровня
Компания Positive Technologies обнародовала результаты работы своей краудсорсинговой платформы Standoff Bug Bounty за 2025 год. За год количество программ на площадке выросло более чем в два раза и достигло 233.
Общее количество отчетов об уязвимостях, сданных исследователями, составило 7870, что на 61% больше, чем в 2024 году. Из них было принято к оплате 2909 уникальных отчетов, что на 34% превышает показатель 2024 года. Согласно данным отчета, 32% всех найденных уязвимостей были оценены как высокого и критического уровня опасности. В сегменте офлайн-бизнеса, к которому отнесли компании из ритейла, медицины и логистики, доля таких опасных багов достигла 37%.
Как указывается в сообщении компании, самым распространенным классом критических уязвимостей стали недостатки контроля доступа — на них пришлось 58% всех находок высокой и критической степени опасности.
Общий объем выплат исследователям превысил 160 млн рублей, что на 49% больше показателя предыдущего года. Средняя выплата за принятый отчет выросла на 12% и составила более 65 тыс. рублей. Максимальная награда на платформе достигла 4,97 млн рублей. За год 43 исследователя заработали более 1 млн рублей, шестеро из них — свыше 5 млн рублей.
Наибольшее количество программ в 2025 году запустили контент-платформы (19% всех программ) и корпоративные/SaaS-платформы (18%). Наибольший интерес со стороны багхантеров вызвали инфраструктуры финансовых сервисов, контент-платформ и e-commerce — на них пришлось 49% всех принятых отчетов. Самые высокие средние выплаты, превысившие 115 тыс. рублей, зафиксированы в программах от владельцев корпоративных и SaaS-платформ.
Число зарегистрированных на платформе исследователей выросло на 74% и достигло 32 тысяч. Как отмечается в отчете, основными мотивами для специалистов являются денежные вознаграждения (92%), развитие навыков (76%) и укрепление профессиональной репутации (54%).
