Яндекс открывает программу по поиску уязвимостей

21 сентября 2012, 12:10

Яндекс объявляет «Охоту за ошибками». Это программа по поиску уязвимостей на веб-сервисах и в мобильных приложениях Яндекса для iOS и Android. Любой желающий может попробовать найти в них проблемы безопасности и получить за это денежный приз. Он составит от 3 000 до 30 000 рублей (а в особых случаях - и больше) в зависимости от серьезности обнаруженной уязвимости.

Проблемы безопасности, которые принимаются для участия в конкурсе и могут быть вознаграждены, это технические недостатки, используя которые можно нарушить целостность или конфиденциальность пользовательской информации, а также изменить права доступа к ней.

Принять участие в программе могут пользователи из любой страны. Поле деятельности огромно. Искать уязвимости можно на сервисах Яндекса в доменах yandex.ru, yandex.com, yandex.com.tr, yandex.kz, yandex.ua, yandex.by, yandex.net, yandex.st, ya.ru, moikrug.ru (кроме сервиса Народ). В список мобильных приложений вошли Яндекс.Карты, Навигатор, Музыка, Такси, Почта, Маркет, Метро, Фотки, Электрички и Диск. Подробнее о конкурсе можно узнать на странице http://company.yandex.ru/security/.

Яндекс уже привлекал к поиску уязвимостей своих пользователей. В прошлом году был объявлен конкурс, который проходил в течение месяца. В нем приняли участие около полусотни человек, победители получили денежное вознаграждение. На этот раз Яндекс не ограничивает исследователей ни во времени, ни в количестве призовых мест.

 

Служба информационной безопасности Яндекса

14 комментариев
Пошел на охоту за багами тогда.

Вчера наблюдал такие вот пинги. Уж не знаю, является ли это угрозой безопасности, но на яндекс.ру было оч сложно попасть:

C:\Users\xxxx>ping yandex.ru -t

 

Обмен пакетами с yandex.ru [77.88.21.11] с 32 байтами данных:

Ответ от 77.88.21.11: число байт=32 время=358мс TTL=31

Ответ от 77.88.21.11: число байт=32 время=356мс TTL=31

Ответ от 77.88.21.11: число байт=32 время=359мс TTL=31

Ответ от 95.108.212.100: Превышен срок жизни (TTL) при передаче пакета.

Ответ от 95.108.212.100: Превышен срок жизни (TTL) при передаче пакета.

Ответ от 77.88.21.11: число байт=32 время=354мс TTL=31

Превышен интервал ожидания для запроса.

Превышен интервал ожидания для запроса.

Превышен интервал ожидания для запроса.

Вероятно проблема в канале связи от Вашего провайдера до Яндекса. На решение этой проблемы может повлиять Ваш хостинг-провайдер.

А лучше сделать множественную трасировку с помощь прогграммы WinMTR

Ну, судя по всему, глючил шлюз 95.108.212.100, который находится уже внутри сети Яндекса. Но сейчас проблема уже не наблюдается :)

Приз до 30 миллионов рублей и больше?

Неплохо!

Яндекс.Деньги - опять не вошли в список. или вошли? т.к. написано: "Домены веб-сервисов: .yandex.ru(кроме доменов сервиса Яндекс.Народ)."

Как быть с тем что за автоматические запросы при фаззинге - ваша система блокирует IP?
Каждый раз писать Вам что-бы разблокировали и придумывать обьяснение почему так произошло? и ждать сутки пока ответят и разблокируют...

Яндекс.Деньги в списке.

Выслал. Как долго ждать ответа?

 

Яндекс, в свою очередь, обязуется проинформировать лицо о получении сообщения об уязвимости в течение пяти рабочих дней.

http://company.yandex.ru/security/policy.xml

Пожалуйста, проверте работу Яндекс фоток(одтельное приложение по Android) Не получается зайти к себе, пишет " 0:null " или " Нет подключение к интернету, проверте подключение " По отзывам на маркете, не одного у меня такая проблема. Заранее спасибо.

Да ну, развод какой-то.

Это был красивый развод от яндекс господа.
Вместо проведения нормального аудирования безопасности решили сделать конкурс и на этом сэкономить.
Но дальше лучше, после получения отчетов поддержка яндекса желает морозится и даже после исправления своих лаж они в течении месяца не могут определится с их статусом, и поэтому даже отвечать на письма не считают обязательным.
Спрашивается нафига ж затевать такое если банально отвечать на письма не в состоянии.


UPD: Спасибо oxdef, получил все ответы на письма.

Здравствуйте, приносим извинения за задержку с ответом. Мы ускорим разбор очереди сообщений и постараемся поскорее  наградить победителей. Напишите мне на oxdef@yandex-team.ru, если у вас остались вопросы касательно конкурса.

Извините за назойливость, прошу ответить на вопросы, которые отправил Вам на email.