Войти

«Алиса, я иду искать»

Цель: поиск критичных уязвимостей

Территория охоты: платформа Яндекс Диалоги

Срок проведения: с 13.12.2024 по 26.01.2025

{ О сервисе }

Яндекс Диалоги — платформа для разработки навыков Алисы. Платформа позволяет внешним разработчикам создавать собственные интерактивные сценарии для взаимодействия с пользователями Алисы, например игры или сценарии умного дома.

Задача конкурса — поиск критичных уязвимостей, которые ведут к компрометации сервиса или данных пользователя. Мы хотим найти больше уязвимостей типа RCE, SQLi и критичных IDOR, чтобы усилить защиту персональных данных и сделать сервис безопаснее.

Основные домены, участвующие в акции:

*.dialogs.yandex.ru — основной домен сервиса, включает в себя: /developer административный интерфейс для управления навыками, /store магазин навыков, /b2b внутренний административный интерфейс для управления отельными колонками, основной API сервиса /api и прочее;
social.yandex.net — сервис для унификации подключаемых пользователями Яндекса OAuth-интеграций. Мы включили его в скоуп, т. к. он активно участвует в процессе авторизации наших пользователей в API производителей умных устройств.

{ На что обратить внимание }

Обращаем ваше внимание: под «конечными пользовательскими устройствами» понимаются только устройства Яндекса, участвующие в программе BugBounty, подробнее с актуальным списком устройств можно ознакомиться на странице «Умные устройства с Алисой».

Больше всего мы ожидаем получить следующие уязвимости:

Уязвимости в конечных пользовательских устройствах (колонки, колонки с экранами, браузерная поверхность, автомобильная платформа «Яндекс Авто», умные устройства Яндекса), если эти уязвимости возникают как следствие работы «вредоносного» навыка на устройстве. Например, вам удалось вызвать DoS умной колонки отправкой определённого сообщения на колонку через собственный «вредоносный» навык.
Уязвимости в разработческом API для общения навыков с Алисой, уязвимости реализации OAuth-флоу.
Возможность управлять чужим умным домом, неправомерно получить информацию о чужом умном доме.
Возможность фрода в сервисе «Яндекс Диалоги». Примеры мест, на которые стоит обратить внимание: система оценки популярности навыка, по результатам которой Яндекс Диалоги ежемесячно разыгрывают денежные премии среди разработчиков лучших навыков, или накрутка рейтинга навыка.

{ Вознаграждения }

На время конкурса мы повышаем вознаграждение за все типы уязвимостей, найденных в «Яндекс Диалогах».

Опционально команда безопасности, оценивающая отчёт об уязвимости, может принять решение об удвоенном вознаграждении за уязвимость, даже если она прямо не связана с сервисом «Яндекс Диалоги», например:

найдены уязвимости в конечных пользовательских устройствах, если эти уязвимости возникают как следствие работы «вредоносного» навыка на устройстве;
найдены уязвимости в OAuth-флоу, например account takeover через авторизацию во «вредоносном» навыке.

Стандартные web-уязвимости:

Категория	Вознаграждение
Remote Code Execution	до 2 400 000 руб.
Injections (SQL/noSQL)	до 1 200 000 руб.
Local files access (LFR, RFI, XXE и т. д.)	до 1 200 000 руб.
SSRF	до 600 000 руб.
Critical IDOR/Information disclosure	до 400 000 руб.
Client-side (XSS, CSRF, CORS и т. д.)	до 240 000 руб.
Other vulnerabilities	до 75 000 руб.

Service-specific-уязвимости

Категория	Вознаграждение
Уязвимости в конечных пользовательских устройствах, возникших как следствие работы «вредоносного» навыка. Например: DoS устройства или одной из внутренних служб	до 2 000 000 руб. для УУ первой категории до 1 000 000 руб. для УУ второй категории
Account takeover через ошибки в OAuth-флоу	до 1 000 000 руб.
Фрод систем оценки успешности навыка. Например, накрутка рейтинга или метрик DAO/MAO	до 400 000 руб.

{ Правила и замечания }

Поскольку навыки разрабатывают внешние разработчики, никак не связанные с Яндексом, то и решение о хостинге бэкендов к своим навыкам они принимают самостоятельно, разворачивая их на хостах с IP-адресами, не принадлежащими Яндексу. Поэтому уязвимости, найденные в сервисах внешних разработчиков, не будут соответствовать правилам программы охоты за ошибками Яндекса.

RCE в изолированном/тестовом окружении получают сниженные награды, поскольку оказывают сниженное влияние на бизнес. • SSRF с возможностью чтения ответа мы считаем более критичными, чем «слепые».
Необязательно обходить CSP (Content Security Policy). Однако в отдельных случаях награда может быть снижена. Например, если XSS требует клик и блокируется CSP (href=javascript:alert);
За «уязвимости» (функции), которые являются частью ожидаемого поведения сервиса (предусмотрены архитектурно) вознаграждение не предусмотрено. Например, возможность OAuth-провайдера получить ПД по легитимно полученному OAuth-токену пользователя.
Уязвимости в мобильных приложениях попадают в раздел «Прочие уязвимости».

Яндекс оставляет за собой право самостоятельно определять отчёты, которые соответствуют правилам конкурса.
Используйте только собственные тестовые аккаунты. Попытки проэксплуатировать ошибку на реальных пользователях могут стать причиной исключения из конкурса.
Отчёт обязательно должен содержать шаги для воспроизведения.
Подробнее с правилами можно ознакомиться в разделе «Исключения из программы» на страницах «Инфраструктура и сервисы Яндекса» и «Умные устройства с Алисой». Там же можно ознакомиться с актуальными категориями умных устройств, участвующих в конкурсе.

Удачной охоты!