«Яндекс» запускает новый конкурс «Охота за ошибками»: нужно найти ошибки в сервисах компании, которые могут привести к раскрытию важной информации пользователей и партнёров компании. Призовой фонд программы составляет 100 млн рублей, а максимальная единовременная награда — 2,8 млн.
«Охота за ошибками» открыта в двух категориях: небезопасный прямой доступ к объектам или IDOR и другие технические ошибки и уязвимости. Под IDOR понимаются уязвимости в механизмах защиты сайтов, через которые злоумышленники могут получить доступ к приватной информации с помощью ошибок в API. Под другими техническими ошибками понимаются пробелы в безопасности, позволяющие получить доступ к чувствительной закрытой информации. Например, закладкам, персональным промокодам или черновикам статей. Сумма вознаграждения зависит от следующих факторов:
- критичность уязвимости;
- простота её использования;
- влияние на безопасность данных пользователей и партнёров.
«Яндекс» отдаст приоритет найденным во время конкурса ошибкам и оперативно их исправит. Исследователям разрешено использовать только собственные тестовые аккаунты для проверки возможных уязвимостей. Нельзя пытаться получить доступ к информации других пользователей.
Объявленный конкурс — часть «Охоты за ошибками», постоянной программы «Яндекса» по премированию этичных хакеров, которые помогают делать сервисы компании безопаснее. В июне 2023 года «Яндекс» увеличил годовой призовой фонд программы до 100 млн рублей. Компания продолжит награждать участников, если выплаты превысят годовой размер фонда.
Списки ошибок и уязвимостей для «Охоты», а также размеры денежных наград за их обнаружение можно посмотреть на сайте.