Яндекс объявляет о запуске нового конкурса «Охота за ошибками», направленного на повышение защиты данных пользователей. В рамках этого конкурса, этичные хакеры должны будут искать ошибки и уязвимости в сервисах Яндекса, которые могут привести к возможному раскрытию чувствительной информации. Максимальная награда за обнаружение критической уязвимости составляет 2,8 млн рублей, что в 5 раз превышает обычное вознаграждение в этой программе.
Размер выплаты будет зависеть от критичности уязвимости, сложности ее использования и ее влияния на безопасность данных пользователей и партнеров. Конкурс продлится до 31 августа, после чего Яндекс приоритетно исправит обнаруженные ошибки.
Конкурс включает две основные категории. Первая категория — это IDOR (Insecure Direct Object References), что означает уязвимости в механизмах защиты сайтов, позволяющие злоумышленникам получить доступ к приватной информации через ошибки в API.
Вторая категория конкурса включает другие технические ошибки и уязвимости, которые позволяют получить доступ к чувствительным закрытым данным, таким как личные закладки, персональные промокоды или черновики статей.
В июне 2023 года Яндекс увеличил годовой призовой фонд программы до 100 млн рублей, и компания продолжит награждать участников, даже если выплаты превысят эту сумму.
Список ошибок и уязвимостей для «охоты», а также размеры вознаграждений за их обнаружение, доступны на сайте.