Компания «Яндекс» запустила новый конкурс в программе «Охота за ошибками». Этичным хакерам предложили найти в ее сервисах ошибки и уязвимости, которые могут привести к раскрытию чувствительной информации. Конкурс продлится до 31 августа.
Максимальная награда за критическую уязвимость составит 2,8 млн рублей. Это в пять раз больше обычной выплаты по этим категориям программы.
Сумма вознаграждения будет напрямую зависеть от критичности уязвимости, а также простоты ее использования и масштабов влияния на безопасность данных пользователей и партнеров.
Охотники за ошибками смогут выиграть повышенное вознаграждение за отчеты в двух категориях. Первая из них называется IDOR, или небезопасный прямой доступ к объектам. Это уязвимости в механизмах защиты сайтов. Через такие лазейки злоумышленники могут получить доступ к приватной информации с помощью ошибок в API.
Во вторую категорию конкурса попали другие технические ошибки и уязвимости, с помощью которых можно получить доступ к чувствительной закрытой информации. Это личные закладки, персональные промокоды или черновики статей.
Такие конкурсы считаются частью «Охоты за ошибками», постоянной программы «Яндекса» по премированию этичных хакеров. Программа помогает компании постоянно повышать защиту сервисов, выявлять потенциальные проблемы и исправлять их.
В июне 2023 года годовой призовой фонд программы вырос до 100 млн рублей. «Яндекс» продолжит награждать участников, если выплаты превысят годовой размер фонда.
В мае текущего года «Телеспутник» писал, как «белые хакеры» всего за месяц выявили на «Госуслугах» 34 уязвимости.