Найти в Дзене
Кириши HackerSpace
1938 подписчиков

Yandex Bug Bounty

221
2 мин
Hello ребзя ! В прошлой статье мы рассмотрели BB площадку hackerone Сегодня поговорим о BB от Yandex. И бегло разберём пару багрепортов. Стоит заметить что в отличии от hackerone, у Яндекса собственная система багбаунти, где взаимодействие между багхантерами и Security специалистами Яндекса происходит напрямую через вэб форму расположенную по этому адресу и в последующем электронную почту. Там же можно найти местный Зал славы, почитать условия участия, сроки и порядок выплат вознаграждений. Теперь ближе к делу. В августе этого года экспериментируя с Яндекс станцией мини, я заметил интересную особенность... и за наличия в колонке некоторых полезных функций и того что колонка плохо распознаёт владельца голоса. Можно было удалённо развести любую Алису, на конфиденциальную инфу (такую как номер телефона закреплённый в яндекс аккаунте и адрес) Достаточно было спросить: "Алиса, какой у меня номер?" или "Алиса, какой у меня адрес?" и колонка тут же выдавала данные своего владельца. Причё

Hello ребзя !

В прошлой статье мы рассмотрели BB площадку hackerone

Сегодня поговорим о BB от Yandex. И бегло разберём пару багрепортов.

Стоит заметить что в отличии от hackerone, у Яндекса собственная система багбаунти, где взаимодействие между багхантерами и Security специалистами Яндекса происходит напрямую через вэб форму расположенную по этому адресу

и в последующем электронную почту.

Там же можно найти местный Зал славы, почитать условия участия, сроки и порядок выплат вознаграждений.

Теперь ближе к делу.

В августе этого года экспериментируя с Яндекс станцией мини, я заметил интересную особенность... и за наличия в колонке некоторых полезных функций и того что колонка плохо распознаёт владельца голоса. Можно было удалённо развести любую Алису, на конфиденциальную инфу (такую как номер телефона закреплённый в яндекс аккаунте и адрес)

Достаточно было спросить:

"Алиса, какой у меня номер?"

или

"Алиса, какой у меня адрес?"

и колонка тут же выдавала данные своего владельца.

Причём ей было абсолютно не важно кто её об этом спрашивает, реальный человек (её владелец) или искусственно синтезированый голос гугл переводчика, голос из ютуб стрима, чат-рулетки, улицы или алкашЪ с соседнего балкона )

Я снял этот видео PoC показывающий как это работало.

И отправил в Яндекс.

Спустя какое то время, получил следующий ответ:

Ответ от специалистов Яндекса
Ответ от специалистов Яндекса
По условиям площадки , запрещено разглашать любую информацию касаемо найденых уязвимостей в течении 90 дней

мне осталось только терпеливо ждать...

-3

Прошло 2 месяца и мне снова пришло письмо:

Мы знали ! мы всё знали !111
Мы знали ! мы всё знали !111

продолжение...

-5

Интересно, не правда ли...

Я всё понимаю, что это далеко не Remote Code Execution и не SQL-injection, но даже близко не сходится с цифрами указанными на их странице )

Чё по чём...
Чё по чём...

(тем более в то время была статья о том, что яндекс увеличил награды за раскрытие чувствительной информации в несколько раз)

Страница банковских реквизитов, на секундочку...
Страница банковских реквизитов, на секундочку...

Ну что ж, спасибо и за это...

Во втором багрепорте, я показал как можно получить доступ к корневой файловой системе, Яндекс Станции 2, даже без её наличия.

Яндекс Станция 2 rootfs
Яндекс Станция 2 rootfs

И ниже прикрепил с[[ к ]]риншот с содержимым каталогов.

rootfs Яндекс станция 2
rootfs Яндекс станция 2
на момент публикации этой статьи, скорей всего Яндекс уже всё устранит... но если вдруг для своих опытов вам понадобятся эти файлы обновлений, напишите нам в Discord

Баг репорты были приняты, обработаны и закрыты одновременно, с почти одинаковыми формулировками :

-10

Аля...

МЫ ЗНАЛИ !
-11

что ж... и не поспорить...

Если вам нравится материал публикуемый на данном канале, вы можете поддержать меня чашкой кофе

Отдельно буду признателен и благодарен вам за лайк, репост или подписку ❤️