Яндекс заплатит этичным хакерам до 2,8 млн рублей за найденную уязвимость

Яндекс запускает новый конкурс в программе «Охота за ошибками», который продлится до 31 августа. Этичным хакерам предстоит искать в сервисах Яндекса ошибки и уязвимости, которые могут привести к раскрытию чувствительной информации.

Максимальная награда за критическую уязвимость составит 2,8 млн рублей – это в 5 раз больше обычной выплаты по этим категориям программы.

Сумма вознаграждения будет зависеть от критичности уязвимости, простоты ее использования и влияния на безопасность данных пользователей и партнеров.

Охотники за ошибками смогут получить повышенное вознаграждение за отчеты в двух категориях:

• Первая – IDOR, или небезопасный прямой доступ к объектам. Это уязвимости в механизмах защиты сайтов, через которые злоумышленники могут получить доступ к приватной информации с помощью ошибок в API.
• Вторая – другие технические ошибки и уязвимости, которые дают возможность получить доступ к чувствительной закрытой информации. Например, личным закладкам, персональным промокодам или черновикам статей.

Списки ошибок и уязвимостей для «охоты», а также размеры денежных наград за их обнаружение можно посмотреть на сайте. Яндекс отдаст приоритет найденным во время конкурса ошибкам и оперативно их исправит. 

Напомним, в июне 2023 года Яндекс увеличил общую сумму выплат в «Охоте за ошибками» до 100 млн рублей. В 2022 году сумма выплат составляла 1,5 млн рублей, а в 2021 – 750 тысяч.

Источник: пресс-релиз Яндекса