Месяц поиска уязвимостей Яндекса

Яндекс уделяет большое внимание вопросам безопасности данных своих пользователей. С целью популяризации информационной безопасности в интернете, мы объявляем месяц поиска уязвимостей — предлагаем всем желающим попытаться найти уязвимости в сервисах Яндекса. Победитель получит  $5000.

В течение месяца мы будем принимать сообщения об обнаруженных уязвимостях и 25 ноября 2011 года на конференции по информационной безопасности ZeroNights подведём итоги конкурса. 


Где искать

На сервисах Яндекса, расположенных в доменах:
  • *.yandex.ru, com, com.tr, kz, ua, by, net, st;
  • *.ya.ru.
  • *.moikrug.ru.


А именно — на сервисах, которые хранят, обрабатывают или каким-либо образом используют конфиденциальную информацию пользователей. Примерами конфиденциальной информации могут быть аутентификационные данные, переписка, личные фото- и видеоальбомы.

Что искать

Любые уязвимости, эксплуатация которых может привести к нарушению конфиденциальности, целостности или доступности данных пользователей. Например уязвимости, которые делают возможными следующие виды атак:

  • межсайтовый скриптинг (XSS);
  • межсайтовая подделка запросов (CSRF);
  • небезопасное управление сессией;
  • различного рода инъекции;
  • ошибки в механизмах аутентификации и авторизации, способствующие обходу этих механизмов. 

Не принимаются к участию в конкурсе сообщения об уязвимостях:
  • сетевой инфраструктуры Яндекса (почтовые серверы, jabber, FTP-серверы и так далее);
  • сторонних сайтов и сервисов, взаимодействующих с Яндексом;
  • сервиса Яндекс.Деньги;
  • пользовательских аутентификационных данных (например, слабые пароли).

А также об уязвимостях, приводящих к возможности совершения DoS- или DDoS-атак, и об использовании техник социальной инженерии, например фишинга.

Но если вы найдёте подобную проблему, пожалуйста, всё равно сообщите нам о ней, мы будем вам очень благодарны.

Как сообщать о найденных уязвимостях

Детальное описание проблемы отправляйте письмом на security-report@yandex-team.ru. Форма свободная, однако, чтобы мы точно вас поняли, обязательно укажите:

  • название сервиса, на котором обнаружена уязвимость;
  • имя уязвимого скрипта, функции или передаваемого параметра;
  • пошаговое описание действий, которые должны быть выполнены для воспроизведения уязвимости.

Вы можете также приложить к письму скриншоты, если считаете, что это повысит наглядность.

Все желающие могут воспользоваться нашим PGP-ключом для шифрования сообщения.

Ограничения

  • тестировать и демонстрировать уязвимость разрешается только на своей тестовой учётной записи. Взламывать чужие учётные записи ни в коем случае нельзя;
  • в течение 90 дней с момента отправки информации об уязвимости в Яндекс нельзя раскрывать подробности о ней третьим сторонам, в том числе публиковать их в открытых или закрытых источниках. В течение этих 90 дней участник также обязуется приложить разумные усилия для того, чтобы информация об уязвимости не стала доступна третьим сторонам.


Что происходит после отправки сообщения

Отправляя нам письмо с описанием уязвимости, вы автоматически становитесь участником конкурса. Мы можем связаться с вами, чтобы уточнить контактные данные.

Итоги конкурса и приз

Группа экспертов из службы информационной безопасности Яндекса проанализирует все присланные уязвимости. 25 ноября 2011 года на конференции по информационной безопасности ZeroNights мы подведём итоги конкурса.
Участник, нашедший и первым сообщивший о самой критической, с нашей точки зрения, уязвимости получит приз — $5000.
С  победителем конкурса мы свяжемся до объявления итогов и пригласим на конференцию.

Можно ли рассказать всем об обнаруженной уязвимости, если вы не победили

Любой участник конкурса имеет право раскрыть детали обнаруженной уязвимости только спустя 90 календарных дней с момента отправки сообщения в Яндекс.

Подробнее об участии в конкурсе читайте в Положении.

Служба информационной безопасности Яндекса.
36 комментариев

Есть такое мнение, что яндекс может ожидать много неприятностей в ближайщий месяц

Станислав Клинков
26 ноября 2015, 16:59

Вовсе нет. Вполне разумный шаг. Всё что у них могли сломать, уже давно сломали и дырки заткнули.

B-)Не всё. Просто те, кто знает об уязвимостях молчит и пользуется ими. Лишь в момент увядания, как правило, появляются "спаленные темы".

(+1)Однако 5000 бакинских - хороший стимул, но и дыра для этого, наверное, должна быть соответствующая

[:]|||||||||[:]

Простите за глупый вопрос: ya.ru и yandex.ru считаются разными доменами?
*.ya.ru тоже входит в зону конкурса, забыли совсем :) Спасибо, поправим пост.

Помоему, очень разумная идея. Рано или поздно любой сервис, предоставляющий безопасность своим пользователям, должен пойти на этот шаг.

Удачи Яндексу в противостоянии атакам.

Не принимаются к участию в конкурсе сообщения об уязвимостях:
* сервиса Яндекс.Деньги;

А что так? С менеджментом Денег не договорились?



Уязвимости, найденные в Яндекс.Деньгах, не
распространяются на Яндекс: у Денег отдельный механизм
аутентификации пользователей через платежный паспорт. Еще мы бы не хотели провоцировать ситуации, когда под видом участников конкурса могут действовать
мошенники.

Да нет просто Яндекс.Деньги не так важно как Яндекс.Другое :-)))

Я тоже данный вопрос задать хотел, чесно говоря напрягает меня такая формулировка. Или там действительно есть чего опасаться.

И ещё провал в логике: конкурс длится ровно месяц, но раскрывать детали уязвимости нельзя 90 дней. Нельзя, а то что? Исключат из конкурса, который уже прошёл? :-)
90 дней это столько не требование конкурса, сколько разумная "responsible disclosure policy".
Ну так стоит так и написать. А то "имеет право раскрыть... только спустя 90 дней" сразу провоцирует ответ в стиле "а что ты мне сделаешь?"
ИМХО адекватного человека не провоцирует.
Тоже верно. Главное, чтобы исследователи были адекватны.

Кстати да, имеет смысл делать не только конкурс, но и выплачивать сколько-то кэцэ за каждую найденную уязвимость, как это делают facebook и прочий google.

В противном случае по прошествии 30 дней яндекс ждёт что-то типа "Ах, не я выиграл в конкурсе, тогда вот, читайте все: ####"

+1 за каждый качественный полезный репорт стоит отблагодарить, даже чисто символически.

Благодарили мы всегда :-)

ну тогда гуд )) я буду спать спокойно

теперь не буду сообщать об уязвимости, а буду ждать подобной халявы.

Так же не согласен с награждением только одного.

Если платить соразумно с каждым багом - сервисы будут тестить больше хороших специалистов, чем сейчас.

Читаем обсуждение на хабрахабре. http://habrahabr.ru/company/yandex/blog/131199/#comments

Яндекс молоток. За 5 килобаксов столько дырок можно заткнуть - мама не горюй. Сплошная халява. Хацкеры дерзайте!!!

Мысли вслух...

Второе и третье место не оцениваются? 5000 тысяч за 1 баг конечно много, но искать его и найти первым может быть весьма проблематичным, к тому же нет ограничений на участие сотрудников компании Яндекс и критериев оценки критичности бага. 2-5 тысяч $ в месяц обычная ЗП тестировщика, Яндекс решил сэкономить? После IPO должно быть достаточно денег, чтобы оплатить каждый качественный рапорт.

согласен, багов может быть больше, а вознаграждение одно

вот именно. Если это проканает, можно штатных тестировщиков разогнать и пользоваться такой халявой пожизненно. 5 килобаксов и яндекс в шоколаде

Ограничения есть в положении. Пункт 1.2.

Пастухов Василий Романович
26 ноября 2015, 16:59

А можно деньги вперед?

Я на них подарки куплю всем к Новому Году в Великом Устюге!

под елочку конечно!

Жалко что почту незя :-)

Что нельзя? mail.yandex.ru входит в область действия конкурса, очевидно.
Взламывать чужие учётные записи ни в коем случае нельзя;

А если при посещении моей личной страницы другим видна XSS? Демонстрировать на закрытом аккаунте, пригласив кого-то из команды Я.ру в друзья?
Интересный подход к обнаружению уязвимостей сервиса. Интересные задачи и главное, интересная плюшка за главный приз.

Но, главный вопрос заключается в следующем - по завершении конкурса не станут ли известны контактные данные участников правоохранительным органам и не поставят ли их на hidden учёт ?! )) я бы призадумался..
Игорь Бабичев
26 ноября 2015, 16:59
те кто уже научете - им нечего бояться
Игорь Бабичев
26 ноября 2015, 16:59
Еще вопрос: отправлено в вашу службу 7 сообщений к примеру.
Но вы ответили только на 2.
То засчитываются только те на которые ответили с Re: [Ticket#111027********] ?

Или вы отвечаете группируя их после прочтения, и нестоит волноваться что приходить тока 1 письмо от вас в день.
В архиве яндекса есть сайт(но его удалили,а архив остался)zhiltsy.ru на этом сайте база данных номеров в префиксе 911и 917.просмотреть эту базу можно посмотреть в архиве

Пиар чистой воды. Где гарантии прозрачности проведния данной "акции"? Я не верю в такое.

"В каждой чутке - есть доля шутки".

- Не принимаются к участию в конкурсе сообщения об уязвимостях:

А также об уязвимостях, приводящих к возможности совершения DoS- или
DDoS-атак.

Вопрос , в конкурсе могут участвовать все жители планеты ? Или только граждане России ?

Как вы думате если большая часть китайских программеров среди которых очень большое кол-во высоко классых специалистов , придет чтобы проверить яндекс на уязвимость :)), не создаете ли вы сами себе DDoS-атаку ? )))))