Конкурс «Охота за ошибками»

Яндекс выплачивает награды за обнаружение проблем в безопасности своих сервисов и приложений. Любой желающий может попытаться найти уязвимость, сообщить нам об этом и получить денежный приз, а также попасть в Зал славы.

Где искать

В инфраструктуре, веб-сервисах, в мобильных приложениях Яндекса для устройств на iOS и Android, а также в десктопных приложениях, которые так или иначе работают с личной информацией пользователей. Личная информация — это, например, логины и пароли, переписка, фото- и видеоальбомы.

Веб-сервисы: на доменах yandex.ru, yandex.com, yandex.com.tr, yandex.kz, yandex.ua, yandex.by, yandex.net (кроме people.yandex.net), yandex.st, ya.ru

Мобильные приложения: Карты, Навигатор, Музыка, Такси, Почта, Маркет, Метро, Фотки, Электрички, Диск, Store, Браузер, Ключ.

Десктопные приложения: Яндекс.Браузер

Инфраструктура: вся автономная система Яндекса за исключением адресов внешних проектов, расположенных в инфраструктуре Яндекса.

Куда и как сообщать

Отправлять сообщения об ошибках лучше всего через специальную форму: так Яндекс сможет быстрее обработать присланную информацию и ответить вам.

Что искать

Уязвимости — технические недостатки, с помощью которых можно нарушить целостность или конфиденциальность пользовательской информации, а также изменить права доступа к ней.

В качестве классификации уязвимостей для веб-сервисов используется OWASP Top-10 версии 2010 года, для мобильных приложений — OWASP Mobile Top-10.

Классификация уязвимостей инфраструктуры:

  • Несанкционированный доступ к сетевому и хостовому оборудованию Яндекса;
  • Неправомерное использование инфраструктуры Яндекса (рассылка спама, DDoS);
  • Утечка критичной информации (приватные ключи, пароли).

В зависимости от уровня опасности и качества отчета цена вознаграждения может меняться, ниже указан ориентировочный уровень вознаграждений.

Размеры наград

Сервисы.

Классификация уязвимости по OWASP Top-10 Размер награды
A01. Инъекции 43000 - 170000 руб.
A02. Межсайтовый скриптинг – A05. Межсайтовая подделка запросов 8500 - 17000 руб.
A06. Ошибки конфигурации веб-окружения – A10. Открытое перенаправление 5500 - 8500 руб.

Мобильные приложения.

Классификация уязвимости по OWASP Mobile Top-10 Размер награды
M01. Небезопасное хранилище данных – M05. Недостатки в механизмах аутентификации и авторизации 8500 - 17000 руб.
M06. Недостатки в управлении сессией – M08. Утечка данных 5500 - 8500 руб.

В особых случаях размер награды может быть увеличен.

Ограничения и политика ответственного разглашения

Яндекс вручает награды только за обнаружение новых уязвимостей.

Участвовать в «Охоте» могут пользователи в возрасте от 14 лет. При этом те, кто младше 18, принимают участие только с письменного согласия родителей.

Сотрудники Яндекса или компаний-партнёров, а также авторы кода, в котором обнаружена уязвимость, не могут участвовать в «Охоте».

Для тестирования и демонстрации уязвимостей можно использовать только свою учётную запись. Взламывать чужие учётные записи ни в коем случае нельзя.

В течение 90 дней после отправки сообщения об ошибке о ней нельзя никому и нигде рассказывать. Также, пожалуйста, не размещайте код обнаруженной уязвимости на публично доступных сервисах и ресурсах, чтобы информация не стала доступна третьим лицам.