Найти в Дзене
technozone
3 подписчика

Яндекс запускает второй конкурс по защите данных в «Охоте за ошибками»

1 мин
Яндекс запускает второй конкурс по защите данных в «Охоте за ошибками» 25 декабря 2023 Яндекс запускает второй конкурс по защите данных в «Охоте за ошибками» Яндекс запускает очередной конкурс по усилению защиты данных в рамках программы «Охота за ошибками». Этичным хакерам предстоит искать в сервисах компании ошибки и уязвимости типа XSS, которые могут привести к раскрытию чувствительной информации. Конкурс продлится до 31 января. Ключевая цель конкурса — поиск XSS-уязвимостей, межсайтового выполнения скриптов. Злоумышленники могут использовать уязвимости такого типа для атаки на приложения и сервисы. Они ищут способы обойти политики безопасности, вставить вредоносный код на веб-страницы и атаковать аккаунты, чтобы совершать действия на сайте от имени пользователей. Во время конкурса награда за все типы XSS-уязвимостей увеличена в несколько раз. Она будет зависеть от критичности уязвимости, простоты её использования и влияния на безопасность данных пользователей и партнёров. Максима

Яндекс запускает второй конкурс по защите данных в «Охоте за ошибками»

25 декабря 2023

Яндекс запускает второй конкурс по защите данных в «Охоте за ошибками»

Яндекс запускает очередной конкурс по усилению защиты данных в рамках программы «Охота за ошибками». Этичным хакерам предстоит искать в сервисах компании ошибки и уязвимости типа XSS, которые могут привести к раскрытию чувствительной информации. Конкурс продлится до 31 января.

Ключевая цель конкурса — поиск XSS-уязвимостей, межсайтового выполнения скриптов. Злоумышленники могут использовать уязвимости такого типа для атаки на приложения и сервисы. Они ищут способы обойти политики безопасности, вставить вредоносный код на веб-страницы и атаковать аккаунты, чтобы совершать действия на сайте от имени пользователей.

Во время конкурса награда за все типы XSS-уязвимостей увеличена в несколько раз. Она будет зависеть от критичности уязвимости, простоты её использования и влияния на безопасность данных пользователей и партнёров. Максимальная награда за критическую уязвимость составит 500 тысяч рублей.

Яндекс борется с XSS-атаками и снижает риски внедрения вредоносного кода с помощью специальных мер. Например, в сервисах Яндекса используется Content Security Policy — международный стандарт, который позволяет указывать, из каких источников сайт может загружать скрипты, картинки, шрифты и другой контент. Он затрудняет выполнение на сайте вредоносного кода и блокирует загрузку контента из недостоверных источников.

Для проверки возможных уязвимостей участники должны использовать только собственные тестовые аккаунты, пытаться получить доступ к информации других пользователей запрещено. Яндекс отдаст приоритет всем найденным ошибкам и оперативно их исправит.

Яндекс регулярно проводит конкурсы, посвящённые разным категориям программы «Охота за ошибками», предыдущий конкурс по защите данных прошёл в августе 2023 года. «Охота за ошибками» — это программа по премированию этичных хакеров, которые ищут уязвимости в продуктах и получают за них награду. В 2012 году Яндекс первым в России запустил подобную программу.

Списки ошибок и уязвимостей для «охоты», а также размеры наград за их обнаружение можно посмотреть на сайте «Охоты за ошибками».