Полный перечень публичных сервисов Yandex Cloud располагается здесь

  • *.yandex.cloud
  • *.cloud.yandex.ru
  • *.cloud.yandex.com
  • *.cloud.yandex.net (см. исключения)
  • *.yandexcloud.net (см.исключения)
  • *.yandexcloud.kz (см.исключения)
Для программы подходят подсети автономной системы AS200350. Узнать, номер автономной системы можно с помощью протокола Whois или по ASN в BGP.
Активное сканирование IPv4 подсетей запрещено — IPv4-адреса этих подсетей также арендуются клиентами для хостинга собственных приложений.

Разрешено сканирование только следующих подсетей:

  • 2a0d:d6c1:/48
  • 84.201.181.26/32
  • 185.206.167.32/27
Активное сканирование внутренних сетей при пивотинге разрешается делать только с явного запроса и согласия команды безопасности в тикете с описанием способа пивотинга. Для подтверждения успешности атаки и возможности пивотинга допускается просканировать localhost, предоставить instance-id виртуалки из сервиса метаданных или строку из ssrf-sheriff.

В дополнение к общим исключениям из программы Yandex BugBounty имеются следующие исключения:

  • Client-side уязвимости в UGC доменах без продемонстрированного импакта (UGC-домены - *.yandexcloud.net и *.yandexcloud.kz);
  • Отчёты о багах в UGC эндпоинтах принимаются и оцениваются только для ресурсов принадлежащих Yandex Cloud или Яндексу;
  • Client-side уязвимости в доменах *.cloud.yandex.net принимаются только при наличии продемонстрированного импакта;
  • Open redirect в SSO-эндпоинтах без продемонстрированного импакта;
  • Устойчивость к DDoS-атакам;
  • Сontainer escape в окружениях DataSphere и Gitlab без продемонстрированного импакта;
  • Информация о сотрудниках Yandex Cloud полученная внутри виртуальных машин managed-сервисов;
  • 1-day уязвимости в third-party компонентах (в т. ч. в managed сервисах) в срок до 30 дней после обнародования;
  • Небезопасные настройки по умолчанию в образах Cloud Marketplace без продемонстрированного импакта;
  • Отчёты об уязвимостях в thirdparty-продуктах в Cloud Marketplace считаются информационными;
  • Sidechannel атаки на RAM или CPU без продемонстрированного импакта;
  • LFI при конвертации образов без демонстрации обхода изоляции;
  • Поиск существующих ресурсов через брутфорс id;
  • Отчёты о настройках репозиториев https://github.com/yandex-cloud/ считаются информационными;
{ Вознаграждения }
Уязвимость
Tier 1
Tier 2
Tier 3
Virtual Machine escape in Compute/
Serverless
3,000,000 ₽
NA
NA
Unsandboxed Remote Code Execution
1,000,000 — 1,200,000 ₽
500,000 — 800,000 ₽
200,000 — 600,000 ₽
Cross-tenant IAM Access Controls Bypass (Read-Write Access)
600,000 — 1,000,000 ₽
300,000 — 500,000 ₽
100,000 — 300,000 ₽
Cross-tenant IAM Access Controls Bypass (Read Data Access)
500,000 — 800,000 ₽
100,000 — 400,000 ₽
100,000 — 200,000 ₽
Single-tenant IAM Access Controls Bypass (Read-Write Access)
200,000 — 600,000 ₽
50,000 — 300,000 ₽
30,000 — 150,000 ₽
Unsandboxed SSRF с чтением ответа
200,000 — 600,000 ₽
150,000 — 300,000 ₽
150,000 ₽
Unsandboxed LFI, RFI без вышеописанного импакта
200,000 — 600,000 ₽
100,000 — 300,000 ₽
100,000 ₽
Injection (sql, yql и аналоги)
200,000 — 600,000 ₽
100,000 — 300,000 ₽
100,000 ₽
DOS в сетевом стеке облака или виртуализации
Примеры подобных уязвимостей — Packet of Death, или последовательность инструкций, которая вызывает критическое завершение управляющего сервиса на Dom0 сервера виртуальных машин.
300,000 — 500,000 ₽
NA
NA
Cross-tenant IAM Access Controls Bypass (Read Metadata Access)
200,000 — 400,000 ₽
50,000 — 300,000 ₽
50,000 — 100,000 ₽
Remote Code Execution in Restricted Environments (Managed Services и Datatransfer)*
Сумма оценивается от импакта

100,000 — 600,000 ₽ — Managed database & k8s

50,000 — 200,000 ₽ — Datatransfer
50,000 — 200,000 ₽
20,000 — 150,000 ₽
Single-tenant IAM Access Controls Bypass (Read Access)
100,000 — 400,000 ₽
50,000 — 200,000 ₽
20,000 — 90,000 ₽
Unsandboxed SSRF (blind)
200,000 ₽
100,000 ₽
45,000 ₽
XSS (кроме *. yandex.net, некоторых доменов *.yandexcloud.net и *.yandexcloud.kz и self)
30,000 — 240,000 ₽
20,000 — 120,000 ₽
10,000 — 75,000 ₽
Остальные уязвимости оцениваются согласно основному направлению «Инфраструктура и сервисы Яндекса»
0 — 200,000 ₽
0 — 200,000 ₽
0 — 200,000 ₽

Отдельные отчёты могут быть отмечены командой безопасности и награждены дополнительным промокодом на использование сервисов Yandex Cloud. Вы можете использовать его как для собственных целей, так и для поиска уязвимостей в платных сервисах Yandex Cloud.

Перед проверкой DoS уязвимостей следует связаться с командой безопасности Yandex Cloud по электронной почте для выделения отдельного хоста и ВМ для безопасной демонстрации.

{ Tiers }
Приоритезация сервисов Yandex Cloud осуществляется командой безопасности Yandex Cloud, согласно внутренней модели угроз и критичности хранящихся данных внутри приложения:
Tier 1
  • Yandex Сompute Cloud
  • Virtual Private Cloud
  • Yandex Object Storage
  • Managed services for Databases
  • Managed service for Kubernetes ®
  • Yandex Cloud Console
  • Интерфейсы аутентификации Yandex Cloud
  • Yandex Cloud Center
  • Yandex Identity Hub
  • Yandex Data Transfer
  • Yandex SpeechSense
  • Yandex Certificate Manager
Tier 2
  • Yandex Monitoring
  • Yandex DataLens
  • Yandex DataSphere
  • Yandex Cloud Backup
  • Yandex Managed Service for GitLab
  • Yandex Vision OCR
  • YandexGPT API
  • Yandex Foundation Models
  • Yandex Container Registry
  • Yandex Message Queue
  • Yandex Data Streams
Tier 3
  • Yandex Load Testing
  • Yandex Cloud CDN
  • Yandex IoT Core
  • Окружение Github-хуков
  • Сервисы в статусе Preview
  • Остальные сервисы Yandex Cloud* (Tier новых сервисов может определяться при получении репорта)
Обычный текст
Fri Nov 21 2025 18:47:05 GMT+0300 (Moscow Standard Time)