Яндекс открывает программу по поиску уязвимостей

21 сентября 2012, 12:10

Яндекс объявляет «Охоту за ошибками». Это программа по поиску уязвимостей на веб-сервисах и в мобильных приложениях Яндекса для iOS и Android. Любой желающий может попробовать найти в них проблемы безопасности и получить за это денежный приз. Он составит от 3 000 до 30 000 рублей (а в особых случаях - и больше) в зависимости от серьезности обнаруженной уязвимости.

Проблемы безопасности, которые принимаются для участия в конкурсе и могут быть вознаграждены, это технические недостатки, используя которые можно нарушить целостность или конфиденциальность пользовательской информации, а также изменить права доступа к ней.

Принять участие в программе могут пользователи из любой страны. Поле деятельности огромно. Искать уязвимости можно на сервисах Яндекса в доменах yandex.ru, yandex.com, yandex.com.tr, yandex.kz, yandex.ua, yandex.by, yandex.net, yandex.st, ya.ru, moikrug.ru (кроме сервиса Народ). В список мобильных приложений вошли Яндекс.Карты, Навигатор, Музыка, Такси, Почта, Маркет, Метро, Фотки, Электрички и Диск. Подробнее о конкурсе можно узнать на странице http://company.yandex.ru/security/.

Яндекс уже привлекал к поиску уязвимостей своих пользователей. В прошлом году был объявлен конкурс, который проходил в течение месяца. В нем приняли участие около полусотни человек, победители получили денежное вознаграждение. На этот раз Яндекс не ограничивает исследователей ни во времени, ни в количестве призовых мест.

 

Служба информационной безопасности Яндекса

14 комментариев
Подписаться на комментарии к посту
Пошел на охоту за багами тогда.

Вчера наблюдал такие вот пинги. Уж не знаю, является ли это угрозой безопасности, но на яндекс.ру было оч сложно попасть:

C:\Users\xxxx>ping yandex.ru -t

 

Обмен пакетами с yandex.ru [77.88.21.11] с 32 байтами данных:

Ответ от 77.88.21.11: число байт=32 время=358мс TTL=31

Ответ от 77.88.21.11: число байт=32 время=356мс TTL=31

Ответ от 77.88.21.11: число байт=32 время=359мс TTL=31

Ответ от 95.108.212.100: Превышен срок жизни (TTL) при передаче пакета.

Ответ от 95.108.212.100: Превышен срок жизни (TTL) при передаче пакета.

Ответ от 77.88.21.11: число байт=32 время=354мс TTL=31

Превышен интервал ожидания для запроса.

Превышен интервал ожидания для запроса.

Превышен интервал ожидания для запроса.

Вероятно проблема в канале связи от Вашего провайдера до Яндекса. На решение этой проблемы может повлиять Ваш хостинг-провайдер.

А лучше сделать множественную трасировку с помощь прогграммы WinMTR

Ну, судя по всему, глючил шлюз 95.108.212.100, который находится уже внутри сети Яндекса. Но сейчас проблема уже не наблюдается :)

Приз до 30 миллионов рублей и больше?

Неплохо!

Яндекс.Деньги - опять не вошли в список. или вошли? т.к. написано: "Домены веб-сервисов: .yandex.ru(кроме доменов сервиса Яндекс.Народ)."

Как быть с тем что за автоматические запросы при фаззинге - ваша система блокирует IP?
Каждый раз писать Вам что-бы разблокировали и придумывать обьяснение почему так произошло? и ждать сутки пока ответят и разблокируют...

Яндекс.Деньги в списке.

Выслал. Как долго ждать ответа?

 

Яндекс, в свою очередь, обязуется проинформировать лицо о получении сообщения об уязвимости в течение пяти рабочих дней.

http://company.yandex.ru/security/policy.xml

Пожалуйста, проверте работу Яндекс фоток(одтельное приложение по Android) Не получается зайти к себе, пишет " 0:null " или " Нет подключение к интернету, проверте подключение " По отзывам на маркете, не одного у меня такая проблема. Заранее спасибо.

Да ну, развод какой-то.

Это был красивый развод от яндекс господа.
Вместо проведения нормального аудирования безопасности решили сделать конкурс и на этом сэкономить.
Но дальше лучше, после получения отчетов поддержка яндекса желает морозится и даже после исправления своих лаж они в течении месяца не могут определится с их статусом, и поэтому даже отвечать на письма не считают обязательным.
Спрашивается нафига ж затевать такое если банально отвечать на письма не в состоянии.


UPD: Спасибо oxdef, получил все ответы на письма.

Здравствуйте, приносим извинения за задержку с ответом. Мы ускорим разбор очереди сообщений и постараемся поскорее  наградить победителей. Напишите мне на oxdef@yandex-team.ru, если у вас остались вопросы касательно конкурса.

Извините за назойливость, прошу ответить на вопросы, которые отправил Вам на email.