«Наш менеджер паролей пытались взломать 一 не вышло»: опыт IT‑компании на багбаунти
IT‑сектор входит в тройку самых атакуемых злоумышленниками сегментов рынка. отраслей. В первом полугодии 2025 года утечки конфиденциальных данных наблюдались в результате 52% успешных атак на организации и в 74% успешных атак на частных лиц. При этом утечки персональных данных пользователей происходили практически в каждой пятой успешной атаке на компании.
Компания АБП2Б провела открытое тестирование безопасности своего менеджера паролей «ОдинКлюч» на площадке Standoff Bug Bounty. Программа багбаунти и последующее тестирование в формате кибериспытаний показали главное: попытки получить доступ к персональным данным, включая учетные записи и сканы паспортов, не увенчались успехом.
Почему традиционных средств недостаточно
Большинство компаний используют автоматизированные сканеры и проводят внутренние проверки.
Это полезно, но имеет определенные ограничения:
- автоматизация распознает только известные угрозы;
- сложно отделить важные сигналы от «шума»;
- автоматизированные решения не способны мыслить как атакующий.
Тем временем масштаб атак растет, а количество злоумышленников увеличивается.
Багбаунти программы помогают закрыть эти пробелы — в рамках тестирования исследователи могут обнаружить и сообщить об уязвимостях до того, как ими воспользуется реальный хакер.
Рассылка: как вести бизнес в России
Пять полезных писем пришлем сразу после подписки. В них — бизнес‑идеи, готовые промпты для нейросетей, советы, как выбрать налоговый режим и получать пассивный доход
Зачем бизнесу багбаунти
Багбаунти — это инструмент, который помогает компаниям выявлятьи закрывать реальные уязвимости, привлекая к работе внешних исследователей безопасности.
Бизнес самостоятельно определяет:
- какие активы можно проверять;
- сколько готов платить за результат;
- как будет выглядеть процесс коммуникации и верификации найденных уязвимостей.
Часто багбаунти сравнивают с пентестом. Разберемся, чем они отличаются:
- Пентест — методологический подход, который может покрывать весь ландшафт угроз, но работает в рамках фиксированного сценария. Обычно он ограничен во времени (до 1–2 недель). В результате вы получаете один итоговый отчет — без возможности реагировать на изменения в инфраструктуре или коде после окончания работ.
- Багбаунти — постоянный поиск реальных уязвимостей, включая те,что еще не описаны в методиках. Он подразумевает большую гибкость и индивидуальный подход.
Что это значит на практике
Разберем на примере багбаунти‑программ компании АБП2Б. В ходе тестирования перед исследователями стояла следующая задача — искать и выявлять уязвимости, которые могли бы привести к компрометации данных.
«Мы предоставили исследователям реальный сценарий, включая сканы документов, и дали багхантерам свободу действий в рамках запущенных программ. Взломать систему не удалось. Это наш личный чекпоинт, которым можно гордиться».
Вячеслав Макович
Директор по развитию АБП2БЦена утечки персональных данных измеряется не только суммой штрафов. В первой половине 2025 года успешные атаки на частных лиц приводили к прямым финансовым потерям в 26% случаев. Помимо финансовых убытков снижается и доверие со стороны клиента. Когда речь идет о менеджере паролей, инструменте, с помощью которого компании могут хранить документы, данные и доступы, вопрос защиты информации имеет ключевое значение.
Внутренняя кухня: как проходили проверки
АБП2Б проводил тестирование защищенности в двух форматах: классической программы багбаунти и кибериспытаний. В рамках первого этапа акцент был сделан на инфраструктуре, во втором 一 на защите персональных данных.
«Не каждый разработчик готов к тому, что кто‑то будет анализировать его продукт. Но именно такие проверки помогают расти: узнавать о слабых местах не от злоумышленников, а от тех, кто хочет помочь».
Вячеслав Макович
Директор по развитию АБП2БВыход компании на багбаунти в этих форматах был продиктован в том числе изменениями в законодательстве. Во‑первых, ужесточились требования по защите персональных данных, регулярно внедряемых как в европейском, так и в отечественном законодательстве. Во‑вторых, в мае этого года начали действовать новые нормы, усиливающие ответственность за утечки персональных данных. Размер штрафов для компаний, которые допустили утечку, был увеличен. Кроме того, за повторные случаи были введены оборотные штрафы, а за несанкционированное использование данных введена не только административная, но и уголовная ответственность.
Что нашли хакеры
По результатам багбаунти программы и тестирования в формате кибериспытаний компания получила более 30 отчетов по выявленным недостаткам от исследователей. Критических уязвимостей обнаружено не было.
По словам представителей АБП2Б, качественная обратная связь от участников стала отдельным плюсом: команда получала подробные отчеты, которые содержали понятные описания и конкретные сценарии атак. В компании отметили, что подобная проверка укрепила доверие не только со стороны клиентов и партнеров, но и внутри команды.
Публичное тестирование — это смелый, но необходимый шаг для компании в сфере безопасности. Это способ показать клиентам, что мы не просто заявляем о защите, а действительно ее обеспечиваем
Ключевые преимущества
Быстрый запуск и результат. Сообщество мотивированных специалистов, работающих по модели оплатыза результат, позволяет быстрее выявлять критически опасные уязвимости 一 те, что представляют наибольшую угрозу для компании.
Непрерывное тестирование. Нет платы за часы — тестирование можно вести непрерывно.
Неограниченные компетенции. Даже сильные внутренние команды не могут охватить все многообразие возможных уязвимостей. Комьюнити багхантеров предлагает уникальное сочетание навыков и опыта.
Когда стоит делать запуск
Багбаунти можно внедрять на любом этапе развития продукта. Обычно компании начинают с базовых проверок — автоматизированных сканеров или пентеста, а затем переходят к приватной программе, чтобы адаптировать процессы и протестировать ключевые сценарии.
После этого можно выйти в публичный формат, открыв продукт для внешнего сообщества исследователей.
