Поделиться
«Яндекс» запускает новый конкурс «Охоты за ошибками» для усиления защиты данных
«Яндекс» запускает новый конкурс в программе «Охота за ошибками». Этичным хакерам предстоит искать в сервисах «Яндекса» ошибки и уязвимости, которые могут привести к раскрытию чувствительной информации. Максимальная награда за критическую уязвимость составит 2,8 млн руб. — это в пять раз больше обычной выплаты по этим категориям программы. Об этом CNews сообщили представители «Яндекса».
Сумма вознаграждения будет зависеть от критичности уязвимости, простоты ее использования и влияния на безопасность данных пользователей и партнеров. Конкурс продлится до 31 августа 2023 г.
Охотники за ошибками смогут получить повышенное вознаграждение за отчеты в двух категориях. Первая — IDOR, или небезопасный прямой доступ к объектам. Это уязвимости в механизмах защиты сайтов, через которые злоумышленники могут получить доступ к приватной информации с помощью ошибок в API.
Вторая категория конкурса — другие технические ошибки и уязвимости, которые дают возможность получить доступ к чувствительной закрытой информации. Например, личным закладкам, персональным промокодам или черновикам статей.
«Яндекс» отдаст приоритет найденным во время конкурса ошибкам и оперативно их исправит. Исследователям разрешено использовать только собственные тестовые аккаунты для проверки возможных уязвимостей. Нельзя пытаться получить доступ к информации других пользователей.
Подобные конкурсы — это часть «Охоты за ошибками», постоянной программы «Яндекса» по премированию этичных хакеров — тех, кто разбирается в компьютерной безопасности, находит уязвимости в продуктах ИТ-компаний и сообщает им об этом за награду. «Охота за ошибками» помогает компании постоянно повышать защиту сервисов, выявлять потенциальные проблемы и исправлять их. В июне 2023 г. «Яндекс» увеличил годовой призовой фонд программы до 100 млн руб. Компания продолжит награждать участников, если выплаты превысят годовой размер фонда.
Короткая ссылка
