Охота за ошибками

Яндекс выплачивает награды за обнаружение проблем в безопасности своих сервисов и приложений. Любой желающий может попытаться найти уязвимость, сообщить нам об этом и получить денежный приз, а также попасть в Зал славы.

Где искать

В инфраструктуре, веб-сервисах, в мобильных приложениях Яндекса для устройств на iOS и Android, а также в десктопных приложениях, которые так или иначе работают с личной информацией пользователей. Личная информация — это, например, логины и пароли, переписка, фото- и видеоальбомы.

Веб-сервисы: на доменах yandex.ru, yandex.com, yandex.com.tr, yandex.kz, yandex.ua, yandex.by, yandex.net (кроме people.yandex.net), yandex.st, ya.ru

Мобильные приложения: Карты, Навигатор, Музыка, Такси, Почта, Маркет, Метро, Фотки, Электрички, Диск, Store, Браузер, Ключ.

Десктопные приложения: Яндекс.Браузер

Инфраструктура: вся автономная система Яндекса за исключением адресов внешних проектов, расположенных в инфраструктуре Яндекса.

Куда и как сообщать

Отправлять сообщения об ошибках лучше всего через специальную форму: так Яндекс сможет быстрее обработать присланную информацию и ответить вам.

Что искать

Уязвимости — технические недостатки, с помощью которых можно нарушить целостность или конфиденциальность пользовательской информации, а также изменить права доступа к ней.

В качестве классификации уязвимостей для веб-сервисов используется OWASP Top-10 версии 2010 года, для мобильных приложений — OWASP Mobile Top-10.

Классификация уязвимостей инфраструктуры:

  • Несанкционированный доступ к сетевому и хостовому оборудованию Яндекса;
  • Неправомерное использование инфраструктуры Яндекса (рассылка спама, DDoS);
  • Утечка критичной информации (приватные ключи, пароли).

Яндекс.Браузер: все перечисленные ниже уязвимости должны относиться только к Яндекс Браузеру, т.е. атака должна стабильно воспроизводиться в нашем браузере, но не в других Chromium-based браузерах, которые используют ту же версию Chromium (узнать версию Chromim можно по ссылке browser://version/, она отображается в самом начале). В зависимости от уровня опасности и качества отчета цена вознаграждения может меняться, ниже указан ориентировочный уровень вознаграждений.

Размеры наград

Размер награды зависит от сервиса, на котором была обнаружена уязвимость. Сервисы делятся на две группы — критичные и все остальные. К критичным относятся: Паспорт, Почта, Диск, Карты, Календарь, главная страница Яндекса, страница результатов поиска, Директ, Маркет.

Классификация уязвимости по OWASP Top-10 Критичные сервисы Прочие сервисы
A01. Инъекции 170000 руб. 43000 руб.
A02. Межсайтовый скриптинг – A05. Межсайтовая подделка запросов 17000 руб. 8500 руб.
A06. Ошибки конфигурации веб-окружения – A10. Открытое перенаправление 8500 руб. 5500 руб.

В особых случаях размер награды может быть увеличен.

Мобильные приложения также делятся на критичные и все остальные. Критичные — это Карты, Навигатор, Музыка, Почта, Маркет, Store, Браузер, Ключ.

Классификация уязвимости по OWASP Mobile Top-10 Критичные приложения Прочие приложения
M01. Небезопасное хранилище данных – M05. Недостатки в механизмах аутентификации и авторизации 17000 руб. 8500 руб.
M06. Недостатки в управлении сессией – M08. Утечка данных 8500 руб. 5500 руб.

В особых случаях размер награды может быть увеличен.

Яндекс.Браузер

Вектор атаки Виды уязвимостей Вознаграждение за подробный отчет с PoC (proof-of-concept) кодом Отчет с базовым уровнем качества и детализации
Удаленное выполнение кода (RCE) Переполнение буфера в стеке Переполнение буфера в динамической памяти Несоответствие используемых типов данных (type confusion) Использование памяти после освобождения (Use-after-free) 250 000 руб. 100 000 руб.
Выход за пределы Chromium-Sandbox Любой способ выйти за пределы ограничений sandbox'а 250 000 руб. 100 000 руб.
Обход механизмов защиты Protect Обход механизма "Безопасный WI-FI Подбор пароля через "Защиту от фишинга" Обход механизма проверки файлов на вирусы 170 000 руб. 50 000 руб.
Обход Same Origin Policy Универсальный XSS Кэш-тайминг уязвимости Уязвимости в браузерном API 170 000 руб. 50 000 руб.
Обход Content Security Policy Любой способ обхода кроме обхода из расширений, а также обхода через подмену HTTP/HTTPS заголовка 90 000 руб. 30 000 руб.
Обход HTTPS Уязвимости в SSL\TLS реализации Уязвимости в механизмах проверки сертификатов Перенаправление на http-версию сайта (SSL-strip) с сохранением статуса защищенного соединения 90 000 руб. 30 000 руб.
Уязвимости во встроенных в браузер расширениях XSS XXE XSRF Раскрытие критичной информации (ACCESS-токенов, cookies и т.п.) 50 000 руб. 15 000 руб.

Ограничения и политика ответственного разглашения

Яндекс вручает награды только за обнаружение новых уязвимостей.

Участвовать в «Охоте» могут пользователи в возрасте от 14 лет. При этом те, кто младше 18, принимают участие только с письменного согласия родителей.

Сотрудники Яндекса или компаний-партнёров, а также авторы кода, в котором обнаружена уязвимость, не могут участвовать в «Охоте».

Для тестирования и демонстрации уязвимостей можно использовать только свою учётную запись. Взламывать чужие учётные записи ни в коем случае нельзя.

В течение 90 дней после отправки сообщения об ошибке о ней нельзя никому и нигде рассказывать. Также, пожалуйста, не размещайте код обнаруженной уязвимости на публично доступных сервисах и ресурсах, чтобы информация не стала доступна третьим лицам.