«Яндекс» запускает новый конкурс в программе «Охота за ошибками». Этичным хакерам предстоит искать в сервисах «Яндекса» ошибки и уязвимости, которые могут привести к раскрытию чувствительной информации. Максимальная награда за критическую уязвимость составит 2,8 млн рос. рублей — это в 5 раз больше обычной выплаты по этим категориям программы.
Сумма вознаграждения будет зависеть от критичности уязвимости, простоты её использования и влияния на безопасность данных пользователей и партнёров. Конкурс продлится до 31 августа.
Охотники за ошибками смогут получить повышенное вознаграждение за отчёты в двух категориях. Первая — IDOR, или небезопасный прямой доступ к объектам. Это уязвимости в механизмах защиты сайтов, через которые злоумышленники могут получить доступ к приватной информации с помощью ошибок в API.
Вторая категория конкурса — другие технические ошибки и уязвимости, которые дают возможность получить доступ к чувствительной закрытой информации. Например, личным закладкам, персональным промокодам или черновикам статей.
Яндекс отдаст приоритет найденным во время конкурса ошибкам и оперативно их исправит. Исследователям разрешено использовать только собственные тестовые аккаунты для проверки возможных уязвимостей. Нельзя пытаться получить доступ к информации других пользователей.
Подобные конкурсы — это часть «Охоты за ошибками», постоянной программы «Яндекса» по премированию этичных хакеров — тех, кто разбирается в компьютерной безопасности, находит уязвимости в продуктах IT-компаний и сообщает им об этом за награду. «Охота за ошибками» помогает компании постоянно повышать защиту сервисов, выявлять потенциальные проблемы и исправлять их. В июне 2023 года «Яндекс» увеличил годовой призовой фонд программы до 100 млн рос. рублей. Компания продолжит награждать участников, если выплаты превысят годовой размер фонда.
Списки ошибок и уязвимостей для «охоты», а также размеры денежных наград за их обнаружение можно посмотреть на сайте.
Горячие темы