Конкурс
Яндекс Еды

Найдите уязвимости в инфраструктуре, сервисах и приложениях, которые относятся к Яндекс Еде. Территория охоты: домены, инфраструктура, мобильные приложения, способы фрода и т. д.
Конкурс проводится с 01.07.2022 по 31.08.2022
На время конкурса мы удваиваем выплаты для этого сервиса.
Главная задача конкурса — поиск технических уязвимостей, которые могут привести к раскрытию личных данных пользователей и курьеров-партнёров, а также выявление возможностей для фрода в Яндекс Еде. Мы выделяем несколько основных направлений.
Раскрытие пользовательских данных
Нас интересуют любые технические способы раскрытия приватных данных пользователей и курьеров-партнёров: например, телефонных номеров, адресов, состава заказов и так далее.
Примеры методов раскрытия данных:
  • курьер видит адрес и состав заказа, который доставляет, но он, как и пользователь, не должен видеть другие заказы. Может рассматриваться обход этого кейса;
  • обход механизма, который скрывает реальные телефонные номера курьера и пользователя при звонке из приложения.
Обход правил использования промокодов
Наши сервисы умеют работать со скидками и промокодами. Нас интересуют любые способы обхода действующих правил использования промокодов.
Примеры обхода правил:
  • активация со своей учетной записи промокодов, которые привязаны к другой учетной записи;
  • раскрытие промокодов путем полного перебора с одной учетной записи или анонимно.
Накрутка бонусных баллов Яндекс Плюса
Нам интересен любой технический способ получения баллов Плюса без траты денег со значительным ущербом.
Фрод со стороны курьеров-партнёров
Нас интересуют любые способы фрода со стороны курьеров.
Пример фрода:
  • курьер находится на смене, но нечестным способом уклоняется от приёма заказов, что в конечном итоге позволяет ему получить субсидию без выполнения доставки. Честные способы сделать перерыв или уйти со смены здесь не рассматриваются.
Способы фрода в приложении для курьера, которые требуют наличия root-привилегий/jailbreak на устройстве, входят в рамки программы.
Домены
  • *.eda.yandex.ru
  • *.eda.yandex
  • *.eda.yandex.net
Инфраструктура
Для охоты подходят IP-адреса инфраструктуры Яндекса, которая обслуживает сервис Яндекс Еда. Узнать, кому принадлежит адрес, можно с помощью протокола Whois или по ASN в BGP. Исключение — пользовательские сети сервиса Yandex.Cloud.
Приложения
  • Приложение Яндекс Go с разделом Еды - Android, iOS.
  • Приложение Яндекс Еды - Android, iOS.
  • Приложение Яндекс Про с курьерским разделом - Android, iOS.
Уязвимости в других приложениях и сервисах Яндекса не относятся к этому конкурсу и оплачиваются в зависимости от того, в какую программу они входят. Список программ.
Яндекс не выплачивает вознаграждение за:
  • фрод через использование временных номеров, аккаунтов, банковских карт и т.д.;
  • уязвимости в других разделах приложения Яндекс Go, вне рамок конкурса и входят в основную программу;
  • фрод, который требует массовых и одновременных действий большого количества пользователей или курьеров-партнеров;
  • факты наличия в публичном доступе пользовательских данных, схем для фрода;
  • обход механизма подмены номера телефона, который не имеет высокую вероятность воспроизведения на длительном промежутке времени;
  • медленный перебор с использованием множества учётных записей не входят в рамки конкурса;
  • легитимные способы для курьера-партнёра сервиса не принимать заказы — уйти со смены или сделать перерыв, не входят в рамки программы;
  • уязвимости на мобильных устройствах, которые для эксплуатации требуют наличие root-привилегий, jailbreak и любой другой модификации приложений или устройств для пользовательских приложений. Это ограничение не действует на фрод через приложения для курьеров-партнёров сервиса ;
  • проблемы, для эксплуатации которых требуется использование техник социальной инженерии, сообщений о применении фишинга;
  • социальную инженерию сотрудников или подрядчиков Яндекса;
  • обход проверок в мобильном приложении для курьеров-партнеров на запуск приложения в системах с jailbreak или на устройствах с root-привилегиями;
  • уязвимости в приложениях на устройстве, которые не оказывают значительного влияния на безопасность;
  • раскрытие Access keys, которые имеют ограничения или зашитые в.apk и не дают доступа к персональным данным;
  • отчеты сканеров безопасности и других автоматизированных инструментов;
  • раскрытие некритичной информации, такой как наименование программного обеспечения или его версии;
  • раскрытие публичной пользовательской информации;
  • проблемы и уязвимости, которые основаны на версии используемого продукта, без демонстрации эксплуатации;
  • информацию об IP-адресах, DNS-записях и открытых портах Яндекса;
  • сообщения об ошибках нулевого дня в TLS;
  • отчеты о небезопасных шифрах SSL/TLS без демонстрации эксплуатации;
  • отсутствие SSL и других BCP (best current practice);
  • физические атаки на собственность Яндекса или его дата-центры;
  • проблемы отсутствия механизмов безопасности без демонстрации эксплуатации, которая может затронуть данные пользователей. Например, отсутствие CSRF-токенов, Clickjacking и т. д.;
  • Login/Logout CSRF или других действий без доказанного влияния на безопасность;
  • открытые перенаправления, но если только проблема не влияет на безопасность сервиса, например, позволяет украсть пользовательский аутентификационный токен. С этой проблемой вы можете претендовать на добавление в Зал Славы;
  • Self XSS, XSS с эксплуатацией не в браузерах Яндекс.Браузер, Chrome или Firefox. С этой проблемой вы можете претендовать на добавление в Зал Славы;
  • Reflected download, same site scripting и другие атаки с сомнительным влиянием на безопасность сервиса; инъекции формул Excel и CSV;
  • отсутствие CSP-политик на домене или небезопасная конфигурация CSP;
  • XSS и CSRF, которые требуют дополнительных действий от пользователя. Вознаграждение выплачивается, только если они затрагивают чувствительные данные пользователя и срабатывают сразу при переходе на специально сформированную страницу, не требуя от пользователя дополнительных действий;
  • XSS, которая требует внедрения или подделки какого-либо заголовка, например, Host, User-Agent, Referer, Cookie и т. д. С этой проблемой вы можете претендовать на добавление в Зал Славы;
  • CORS Misconfiguration на домене mc.yandex.ru, mc.yandex.com и других рекламных доменах без доказанного влияния на безопасность;
  • Tabnabbing — target="_blank" в ссылках без доказанного влияния на безопасность;
  • Content spoofing, content injection или text injection без доказанного влияния на безопасность;
  • отсутствие флагов на нечувствительных файлах cookie;
  • наличие атрибута автозаполнения на веб-формах;
  • отсутствие Rate Limit без доказанного влияния на безопасность;
  • наличие или отсутствие записей SPF и DKIM;
  • использование известной уязвимой библиотеки без демонстрации эксплуатации;
  • уязвимости в партнерских сервисах, если не затронуты данные пользователей Яндекса;
  • сообщения об уязвимости паролей или парольных политик и других аутентификационных данных пользователей;
  • уязвимости, которые затрагивают только пользователей устаревших или уязвимых браузеров и платформ;
  • атаки, требующие физического доступа к устройству пользователя;
  • возможность исполнять скрипты на sandbox-доменах или доменов без сессионных cookies, например, *.yandex.net, *.yandex-bank.net;
  • факт наличия возможности декомпиляции или использования обратной разработки приложений.
За сообщение об ошибке в работе сервисов, расположенных на доменах yandex.net и yandex.st, вознаграждение выплачивается только за уязвимости класса server side.
{ Вознаграждения }
Вознаграждение удваивается на время конкурса Яндекс Еды и зависит от критичности уязвимости, простоты её использования и опасности для данных пользователей и курьеров-партнеров. В случае с фродом вознаграждение зависит от возможности масштабирования конкретного способа такого мошенничества, простоты его использования и степени причиняемого ущерба. Суммы вознаграждения можно посмотреть в таблице ниже.
Решение об уровне критичности мы будем принимать вместе с разработчиками — и на это может уйти некоторое время.
Уязвимость
Вознаграждение
Remote code execution (RCE)
440  000 руб. — 1 500 000 руб.
Local files access и другое. (LFR, RFI, XXE)
150 000 руб. — 890 000 руб.
Инъекции
150 000 руб. — 890 000 руб.
SSRF кроме слепых
150 000 руб. — 600 000 руб.
Слепая SSRF
40  000 руб. — 200 000 руб.
Утечки памяти / IDORs / Раскрытие информации с защищенными личными данными или конфиденциальной информацией пользователя
18 000 руб. — 520 000 руб.
Cross-Site Scripting (XSS) исключая self-XSS и домен *.yandex.net
30  000 руб. — 220 000 руб.
Cross-Site Request Forgery (СSRF, Flash crossdomain requests, CORS)
15 000 руб. — 150 000 руб.
Другие подтвержденные уязвимости
Зависит от критичности
Разные способы фрода
23 000 руб. — 230 000 руб.
Wed Oct 02 2024 18:14:28 GMT+0300 (Moscow Standard Time)