Интернет и медиа

Яндекс открывает сезон охоты за уязвимостями, которые могут привести к раскрытию чувствительной информации

Яндекс запускает новый конкурс в программе «Охота за ошибками». Этичным хакерам предстоит искать в сервисах Яндекса ошибки и уязвимости, которые могут привести к раскрытию чувствительной информации. Максимальная награда за критическую уязвимость составит 2,8 млн рублей — это в 5 раз больше обычной выплаты по этим категориям программы.

Сумма вознаграждения будет зависеть от критичности уязвимости, простоты ее использования и влияния на безопасность данных пользователей и партнеров. Конкурс продлится до 31 августа.

Охотники за ошибками смогут получить повышенное вознаграждение за отчеты в двух категориях. Первая — IDOR, или небезопасный прямой доступ к объектам. Это уязвимости в механизмах защиты сайтов, через которые злоумышленники могут получить доступ к приватной информации с помощью ошибок в API.

Вторая категория конкурса — другие технические ошибки и уязвимости, которые дают возможность получить доступ к чувствительной закрытой информации. Например, личным закладкам, персональным промокодам или черновикам статей.

Яндекс отдаст приоритет найденным во время конкурса ошибкам и оперативно их исправит. Исследователям разрешено использовать только собственные тестовые аккаунты для проверки возможных уязвимостей. Нельзя пытаться получить доступ к информации других пользователей.

Подобные конкурсы — это часть «Охоты за ошибками», постоянной программы Яндекса по премированию этичных хакеров — тех, кто разбирается в компьютерной безопасности, находит уязвимости в продуктах IT-компаний и сообщает им об этом за награду. «Охота за ошибками» помогает компании постоянно повышать защиту сервисов, выявлять потенциальные проблемы и исправлять их. 

В июне 2023 года Яндекс увеличил годовой призовой фонд программы до 100 млн рублей. Компания продолжит награждать участников, если выплаты превысят годовой размер фонда.

Источник

Кнопка «Наверх»
Закрыть
Закрыть