Яндекс открывает сезон охоты на уязвимости, которые могут привести к раскрытию конфиденциальной информации — Новости

Яндекс запускает новый конкурс в программе Bug Hunt. Этичным хакерам придется искать баги и уязвимости в сервисах Яндекса, которые могут привести к раскрытию конфиденциальной информации. Максимальное вознаграждение за критическую уязвимость составит 2,8 млн рублей, что в 5 раз больше обычного платежа по этим категориям программы.

Размер вознаграждения будет зависеть от критического характера уязвимости, простоты ее эксплуатации и влияния на безопасность данных пользователей и партнеров. Конкурс продлится до 31 августа.

Охотники за ошибками смогут получать повышенные награды за отчеты в двух категориях. Первый — IDOR, или небезопасный прямой доступ к объектам. Это уязвимости в механизмах защиты веб-сайтов, через которые злоумышленники могут получить доступ к приватной информации, используя бреши в API.

Вторая категория конкурентов — это другие технические ошибки и уязвимости, которые позволяют получить доступ к конфиденциальной служебной информации. Например, персональные закладки, персональные промокоды или черновики статей.

Яндекс расставит ошибки, обнаруженные в ходе конкурса, в приоритетном порядке и сразу же исправит их. Исследователи могут использовать только свои собственные тестовые учетные записи для проверки возможных уязвимостей. Вы не должны пытаться получить доступ к информации других пользователей.

Такие конкурсы являются частью «Охоты на жуков», постоянной программы Яндекса для поощрения этичных хакеров — тех, кто разбирается в компьютерной безопасности, находит уязвимости в продуктах ИТ-компаний и сообщает им об этом за определенную плату. Поиск ошибок помогает компании постоянно улучшать защиту сервисов, выявлять потенциальные проблемы и исправлять их.

В июне 2023 года Яндекс повысился годовой призовой фонд программы составляет до 100 миллионов рублей. Компания продолжит вознаграждать участников, если выплаты превысят годовую сумму фонда.

ЧИТАТЬ   Yandex NV заключила соглашение о продаже бизнеса Яндекса консорциуму частных инвесторов - Новости

Source