Программы Bug Bounty техгигантов
Раздел 8.09, шаг 4 из 6. Суммы и scope меняются — перед тестом открывайте официальную страницу программы.
Сводная таблица (ориентир)
| Компания | Портал | Что в scope (типично) | Особенности |
|---|---|---|---|
| Microsoft | MSRC | Windows, Office, Azure, Edge, Xbox | Собственный портал; Bounty Program с таблицей выплат |
| bughunters.google.com | Android, Chrome, Cloud, продукты Alphabet | VRP + Patch Rewards для open source | |
| Apple | Apple Security Bounty | iOS, macOS, iCloud, устройства | Строгие правила; высокие суммы за chain |
| Meta | facebook.com/whitehat | Facebook, Instagram, WhatsApp, Quest | Часто через HackerOne |
| Amazon | Amazon Vulnerability Research | AWS, retail, Alexa | Разные подпрограммы по сервисам |
| GitHub | bounty.github.com | github.com, GHES, Actions | Отдельные правила для Actions |
| Oracle / Cisco / SAP | Собственные VDP | Корпоративное ПО | Долгий triage у legacy |
| Яндекс | Yandex Bug Bounty | Поиск, Такси, Маркет, облако | Принимают отчёты из РФ; есть правила для несовершеннолетних |
| VK | bugbounty.vk.com | VK, OK, почта, экосистема | Региональные сервисы |
| Сбер / Т-Банк / др. | Публичные и приватные программы | Финтех, мобильные банки | Высокие выплаты, жёсткий scope, KYC |
| Mozilla | Mozilla Security | Firefox, сервисы Mozilla | Открытая культура, фокус на privacy |
| Tesla | Программа на HackerOne | Транспорт, energy, shop | Уникальный scope (авто — осторожно) |
| Samsung / Qualcomm | Mobile VRP | Прошивки, чипы | Нужно железо |
| OpenAI / крупный AI | VDP / ограниченный bounty | API, промпт-инъекции | Быстро меняющиеся правила |
| Telegram | Исторически конкурсы | Клиенты, протокол | Следить за актуальной policy |
Microsoft
MSRC (Microsoft Security Response Center) — центральная точка для уязвимостей в продуктах Microsoft.
Процесс:
- Регистрация на msrc.microsoft.com.
- Отчёт с описанием, impact, PoC (часто — минимальный crash dump / видео).
- Triage и присвоение CVE при подтверждении.
- Патч во вторник обновлений (Patch Tuesday) или внепланово при активной эксплуатации.
- Bounty по Microsoft Bounty Program — суммы зависят от продукта (Windows, Azure, Edge, Office 365).
Особенности:
- Критичные уязвимости в ядре Windows — среди самых высокооплачиваемых в индустрии.
- Публичная политика координированного раскрытия; в спорных кейсах Microsoft публикует блог MSRC.
- Исследователи должны не нарушать пользовательские данные в облаке при тестировании Azure.
В 2026 году в медиа обсуждался конфликт с исследователем Nightmare-Eclipse (публикации уязвимостей Windows, блокировки аккаунтов, споры о prior disclosure) — разбор без выбора стороны в статье про сбои доверия.
Продуктовые направления MSRC
| Продукт | Типичные находки | Bounty (порядок) |
|---|---|---|
| Windows / Kernel | EoP, pool corruption | До $100 000+ |
| Edge | Sandbox escape, XSS | Средние–высокие |
| Azure | SSRF в metadata, IAM | Высокие |
| Office 365 | XSS, macro, token leak | Средние |
| Xbox | Отдельный scope | По таблице MSRC |
Patch Tuesday — второй вторник месяца. Критичные отчёты могут получить внеплановый advisory при active exploitation.
Out of scope (часто): фишинг сотрудников, физический доступ, DoS, тесты без PoC «на словах».
Google
Google Vulnerability Reward Program (VRP) охватывает:
- Android — устройства Pixel, системные приложения;
- Chrome — браузер, V8;
- Cloud — GCP (строгий scope по проектам);
- веб-сервисы (Gmail, Drive и др. — по отдельным правилам).
Дополнительно Patch Rewards за коммиты в open source (OpenSSL, Linux и др.).
Портал: bughunters.google.com. Культура быстрого triage у критичных отчётов; для Android часто нужен физический девайс и воспроизведение на свежей сборке.
| Направление | Особенности теста |
|---|---|
| Chrome / V8 | Sandbox, JIT bugs — высокая сложность |
| Android | Pixel как референс; OEM прошивки вне scope |
| GCP | Только свои проекты по инструкции; не сканировать чужие bucket |
| Gmail / Workspace | Строгий impact на пользовательские данные |
Patch Rewards — отдельная линия для коммитов в популярный open source; суммы ниже kernel RCE, но стабильный поток для разработчиков на C.
Apple
Apple Security Bounty — одна из самых строгих и высокооплачиваемых программ.
- Фокус на цепочках (chain) — несколько багов → полный компромисс устройства.
- Требования к документации PoC высокие; публикация до патча запрещена правилами.
- В 2025–2026 в сообществе обсуждали усталость исследователей от задержек triage и споров о выплатах — часть команд объявила паузу в отправке отчётов в Apple (аналогичные настроения иногда звучат и про других вендоров).
Официальная страница: security.apple.com/bounty.
Типовая chain для максимальной выплаты: удалённый вектор → sandbox escape → kernel → persistence. Каждый этап документируют отдельно, но платят за полную цепочку.
Исследовательский Device (Security Research Device) — отдельная программа для доверенных исследователей с ослабленной защитой для глубокого анализа (по приглашению).
Meta (Facebook)
Программа Meta Whitehat исторически шла через HackerOne.
Scope: основные соцсети, мессенджеры, рекламный кабинет, VR. Много логических уязвимостей (приватность, обход блокировок). Выплаты привязаны к impact на пользовательские данные.
Частые темы:
- просмотр чужих постов / медиа при смене
graph id; - обход настроек приватности в Reels / Stories;
- утечки через ads manager (доступ к чужим кампаниям).
Тестовые аккаунты создают по правилам программы; массовый парсинг запрещён.
Amazon и AWS
Отдельные правила для AWS (облачная инфраструктура) и потребительских сервисов.
Типичные находки: misconfiguration S3, IAM, Lambda; в retail — логика заказов. Scope исключает физическую безопасность дата-центров и социнженерию на сотрудников.
Документация: Amazon Vulnerability Research Program.
| Сервис | Пример valid finding |
|---|---|
| S3 | Публичный bucket с PII (если в scope) |
| IAM | Privilege escalation через trust policy |
| Lambda | Инъекция в event source |
| Retail | Манипуляция ценой / корзиной |
Для AWS почти всегда нужен собственный тестовый аккаунт; атака на инфраструктуру Amazon как компании запрещена.
GitHub
GitHub Security Bug Bounty — уязвимости в github.com, Enterprise Server, GitHub Actions (отдельный раздел правил — supply chain).
Особенность: находки в Actions могут затрагивать тысячи репозиториев; triage согласует эмбарго с maintainers.
Яндекс и российский рынок
Yandex Bug Bounty — публичная программа с прозрачным scope (сервисы экосистемы). Удобна для старта из РФ: русский язык правил, локальные выплаты.
VK Bug Bounty — соцсети, почта, игровые и медиа-активы.
Kaspersky, Positive Technologies, BI.ZONE и другие вендоры ИБ в РФ публикуют свои VDP/bounty — удобны для отчётов на русском и локального Hall of Fame.
Банки и финтех (Сбер, Т-Банк, Альфа и др.) часто проводят приватные программы на HackerOne/Bugcrowd с NDA и повышенными суммами за уязвимости в переводах и аутентификации.
| Тип риска в финтехе | Почему платят много |
|---|---|
| Обход 2FA / OTP | Прямой доступ к счёту |
| IDOR по операциям | Кража средств |
| SSRF к внутренним API | Lateral movement |
| Утечка через мобильный API | Массовые ПДн |
Ошибка в scope (тест продакшен-счёта без разрешения) может трактоваться как мошенничество, а не как исследование. Используйте только выделенные тестовые среды из политики.
Облачные гиперскейлеры
| Провайдер | Программа |
|---|---|
| Microsoft Azure | Через MSRC / Azure Bounty |
| Google Cloud | Google VRP (GCP) |
| AWS | Amazon VRP |
Общее правило: не сканировать чужие тенанты; только свои проекты, созданные по инструкции программы, или явно помеченные цели.
Как выбрать программу новичку
- Прочитать scope и out of scope целиком.
- Начать с VDP или программ с низким порогом (небольшие SaaS на HackerOne).
- Практиковаться на Hack The Box, TryHackMe, PortSwigger Web Security Academy — без атаки чужих систем.
- Вести журнал отчётов (дата, ID, статус, выплата).
Рейтинг сложности входа (субъективно)
| Уровень | Примеры | Комментарий |
|---|---|---|
| Низкий | Небольшие B2B SaaS на HackerOne, VDP стартапов | Много логики, меньше конкуренции |
| Средний | Яндекс, VK, крупный e-commerce | Нужен русский + английский в отчёте |
| Высокий | Google Chrome, Windows kernel, iOS chain | Годы практики, железо |
Чек-лист перед первым запросом к цели
- Прочитан
security.txtи policy - Подтверждено, что домен в in scope
- Созданы тестовые учётки (не чужие)
- Настроен rate limit в Burp
- Готов шаблон отчёта (статья 2)
Сравнение порталов отчётности
| Канал | Плюсы | Минусы |
|---|---|---|
| HackerOne | Единый UX, медиация, выплаты | Конкуренция, комиссия |
| Свой портал (MSRC) | Прямая связь с вендором | Разный UI, нет единого рейтинга |
| Email security@ | Простота | Нет трекинга, спор о приоритете |
| GitLab/GitHub Security | Привязка к репо | Узкий контекст |
Краткий итог
У каждого гиганта свой портал, scope и культура triage. Microsoft — MSRC; Google — bughunters; Apple — высокий порог и ставка на chains; российский рынок — Яндекс, VK, финтех. Перед отправкой сверяйте актуальную политику и сохраняйте артефакты отчёта. Далее — карьера и конфликты.
См. также
Другие статьи этого же раздела в боковом меню (как на странице "О разделе"). Этичный хакер, белая и чёрная шляпа, закон, согласие владельца системы, отличие от пентеста и штатной безопасности. Scope, воспроизведение, PoC, CVSS, шаблон отчёта и артефакты — от гипотезы до тикета в MSRC или HackerOne. Программы вознаграждений, CVD, платформы HackerOne и Bugcrowd, triage, safe harbor и жизненный цикл отчёта. Должности AppSec и Red Team, независимый исследователь, сертификации OSCP, обучение и CTF. Споры о prior disclosure, full disclosure, доказательная база и уроки кейса Microsoft 2026 без выбора стороны. Краткое резюме раздела 8.09 — этика, отчёты, Bug Bounty, техгиганты и конфликты раскрытия. Вопросы для закрепления раздела о белом хакерстве, Bug Bounty и координированном раскрытии.Белое хакерство — основы
Как ищут и оформляют уязвимости
Bug Bounty и координированное раскрытие
Карьера в белом хакерстве
Когда доверие между вендором и исследователем ломается
Белое хакерство — итоги
Белое хакерство — чек-лист самопроверки