Охота за ошибками: новый сезон

Уже почти десять лет Яндекс ведёт «Охоту за ошибками». Это программа премирования «этичных хакеров» — специалистов по компьютерной безопасности, которые находят уязвимости в продуктах Яндекса и сообщают нам об этом. Мы устраняем ошибки, а тем, кто их обнаружил, выплачиваем вознаграждение. С 2012 года Яндекс перечислил участникам программы больше 30 млн рублей.

Для нас «Охота за ошибками» — это возможность ещё раз проверить на прочность системы безопасности Яндекса. Поэтому мы заинтересованы в том, чтобы в программе поучаствовало больше хороших специалистов. В этом году мы перезапустили «Охоту»: награды стали больше, а условия — прозрачнее.

Увеличенные выплаты

Теперь за сообщение об ошибке можно получить до 750 тысяч рублей. Выше всего оцениваются уязвимости, которые позволяют потенциальным злоумышленникам совершить так называемую инъекцию — то есть выполнить на сервере свой код.

Новая классификация уязвимостей

В «Охоте за ошибками» два направления: первое — инфраструктура, сервисы и приложения Яндекса, второе — Яндекс.Браузер. Для каждого направления мы разработали подробную классификацию уязвимостей. Из неё «охотники» могут узнать, какие типы ошибок нас интересуют в первую очередь и какое вознаграждение за них полагается.

Быстрое реагирование

Получив сообщение об ошибке, мы проводим мини-расследование — нужно подтвердить уязвимость и проверить, насколько она опасна. Чем серьёзнее ошибка, тем больше будет вознаграждение «охотнику». Раньше результатов проверки можно было ждать довольно долго. Сейчас мы справляемся быстрее: сообщения «охотников» рассматривают дежурные инженеры службы безопасности вместе с командой сервиса, в котором найдена ошибка.

Служба поддержки «охотников»

У участников «Охоты за ошибками» иногда возникают вопросы, на которые сложно найти ответ самостоятельно: например, какие данные нужно предоставить, чтобы получить награду, или что делать, если перевод не приходит. Теперь у программы есть собственная служба поддержки — к ней можно обращаться в подобных ситуациях.

Подробнее об «Охоте за ошибками» и её условиях можно узнать на yandex.ru/bugbounty. Там же доступен «Зал славы» — список пользователей, которые внесли вклад в информационную безопасность Яндекса.

8 комментариев
00:05
Квартирник НТВ у Маргулиса. Нейромонах Феофан
А кто следит за грамотностью?



Артем Тарасенко
1 июля 2021, 16:40
Ало ребят. А как в вебматсере работать, каждую 1-2-3 страницы вылетает капча. Не возможно. Я больше разгадыванием каптчи занимаюсь, чем работаю в вм.
Алексей Жданов
14 июля 2021, 14:18
Артем Тарасенко,
вэбмастер давно брошен в угоду другим проектам. 
rafaellateixeira
21 июля 2021, 07:51
Ta ok
rafaellateixeira
21 июля 2021, 07:51
Muito bom ,gostei
Ребят, Яндекс. Не знаю, куда написать, но ваши тексты и бегущие строки под видосами просто караул. Кто это оформляет? Это просто катастрофа. Даже не просто катастрофа - это позорище.
Насчёт ошибок не знаю, но есть недочёты. Постоянно скидывает местоположение выставленные вручную и в моем мобильном браузере на хонор невозможно применить тёмную тему, как и тему смартфона. Вот бы исправили
по личному опыту запуска подобной программы для fesh могу сказать, что идея отличная! Если я правильно помню, там за месяц интернет магазины раз 100 ломать пробовали, но толком ничего толкового ни у кого не получилось. А 750 тысяч рублей это не мало даже для зарубежных компаний