Bug bounty с российским паспортом в 2026 — HackerOne, Intigriti или уходить на локальные платформы?

[luka_crypto]

Ситуация: занимаюсь bug bounty уже три года, в основном на HackerOne. Выплаты идут через Payoneer, но последний год всё сложнее — Payoneer ужесточил верификацию для ряда стран СНГ, некоторые коллеги получили заморозку счетов. Intigriti теоретически доступна, там выплаты через Tremendous или банковский перевод, но программ меньше. Bugcrowd через Bugcrowd-Pay — аналогичные проблемы с получением. Как вы сейчас решаете вопрос вывода выплат? И вообще — есть смысл переходить на Standoff 365 или BI.ZONE Bug Bounty или там совсем другой масштаб выплат?

[polina_dev]

Перешёл на Intigriti как основную площадку полтора года назад. Программ действительно меньше, но конкуренция ниже — это важно. На HackerOne топовые программы типа Google, Apple, Meta закрыты для новых участников или конкуренция такая что дубликат прилетает через 20 минут. На Intigriti нашёл несколько программ с не самым большим охотничьим полем и регулярно закрываю medium/high. Выплаты через SEPA-перевод, ищи европейский необанк — N26 или Wise с европейским IBAN.

[sonya_vue38]

По российским платформам: Standoff 365 от Positive Technologies реально платит, там были выплаты по 500-800 тысяч рублей за критикалы в инфраструктурных целях. BI.ZONE Bug Bounty тоже живая, там корпоративные программы российских банков и телекомов. Масштаб другой — максимальные выплаты меньше чем на западных платформах, но рублёвые выплаты без проблем с верификацией и отсутствие геополитических рисков. Для начинающих — хорошее место набить руку на реальных целях.

[elena_cloud]

Честный ответ по HackerOne: технически аккаунт создать можно, выплаты через Payoneer формально работают, но это постоянное хождение по минному полю. Плюс надо смотреть scope каждой программы — часть американских программ имеет ограничения на участников из определённых стран в условиях. Юридически это серая зона, и если что-то пойдёт не так с классификацией программой вашего репорта — защиты мало. Лично я разделил: западные платформы через ИП/компанию в нейтральной юрисдикции, российские — напрямую.

[mark_ml]

Важный момент который мало кто упоминает: на западных bug bounty платформах растут выплаты за AI-уязвимости. HackerOne сообщал о росте валидных репортов по AI на 210% в 2025 году. Prompt injection, model inversion, unsafe tool call в LLM-агентах — это новый фронтир с хорошими выплатами и пока низкой конкуренцией, потому что мало кто понимает как это тестировать. Если хочешь выделиться — копай в эту сторону, там и западные программы активны.

[yaroslav_hex13]

@cpp_veteran, Для вывода денег в 2026 рабочие схемы которые знаю: 1) Wise с верификацией через паспорт нейтральной страны если есть второе гражданство/ВНЖ; 2) крипто — часть платформ поддерживает USDC/USDT выплаты напрямую; 3) работа через посредника — ИП в Казахстане или Армении, там банковская инфраструктура работает с Payoneer нормально. Ни один из вариантов не идеален, но что-то из этого работает у большинства людей которых знаю.