Яндекс заплатит этичным хакерам до 2,8 млн рублей за найденную уязвимость
Яндекс запускает новый конкурс в программе «Охота за ошибками», который продлится до 31 августа. Этичным хакерам предстоит искать в сервисах Яндекса ошибки и уязвимости, которые могут привести к раскрытию чувствительной информации.
Максимальная награда за критическую уязвимость составит 2,8 млн рублей – это в 5 раз больше обычной выплаты по этим категориям программы.
Сумма вознаграждения будет зависеть от критичности уязвимости, простоты ее использования и влияния на безопасность данных пользователей и партнеров.
Охотники за ошибками смогут получить повышенное вознаграждение за отчеты в двух категориях:
- Первая – IDOR, или небезопасный прямой доступ к объектам. Это уязвимости в механизмах защиты сайтов, через которые злоумышленники могут получить доступ к приватной информации с помощью ошибок в API.
- Вторая – другие технические ошибки и уязвимости, которые дают возможность получить доступ к чувствительной закрытой информации. Например, личным закладкам, персональным промокодам или черновикам статей.
Списки ошибок и уязвимостей для «охоты», а также размеры денежных наград за их обнаружение можно посмотреть на сайте. Яндекс отдаст приоритет найденным во время конкурса ошибкам и оперативно их исправит.
Напомним, в июне 2023 года Яндекс увеличил общую сумму выплат в «Охоте за ошибками» до 100 млн рублей. В 2022 году сумма выплат составляла 1,5 млн рублей, а в 2021 – 750 тысяч.