Домены

• *.eda.yandex.ru
• *.eda.yandex
• *.eda.yandex.net

Инфраструктура
Для охоты подходят IP-адреса инфраструктуры Яндекса, которая обслуживает сервис Яндекс Еда. Узнать, кому принадлежит адрес, можно с помощью протокола Whois или по ASN в BGP. Исключение — пользовательские сети сервиса Yandex.Cloud.

Приложения

• Приложение Яндекс Go с разделом Еды - Android, iOS.
• Приложение Яндекс Еды - Android, iOS.
• Приложение Яндекс Про с курьерским разделом - Android, iOS.

Уязвимости в других приложениях и сервисах Яндекса не относятся к этому конкурсу и оплачиваются в зависимости от того, в какую программу они входят. Список программ.

Яндекс не выплачивает вознаграждение за:

• фрод через использование временных номеров, аккаунтов, банковских карт и т.д.;
• уязвимости в других разделах приложения Яндекс Go, вне рамок конкурса и входят в основную программу;
• фрод, который требует массовых и одновременных действий большого количества пользователей или курьеров-партнеров;
• факты наличия в публичном доступе пользовательских данных, схем для фрода;
• обход механизма подмены номера телефона, который не имеет высокую вероятность воспроизведения на длительном промежутке времени;
• медленный перебор с использованием множества учётных записей не входят в рамки конкурса;
• легитимные способы для курьера-партнёра сервиса не принимать заказы — уйти со смены или сделать перерыв, не входят в рамки программы;
• уязвимости на мобильных устройствах, которые для эксплуатации требуют наличие root-привилегий, jailbreak и любой другой модификации приложений или устройств для пользовательских приложений. Это ограничение не действует на фрод через приложения для курьеров-партнёров сервиса ;
• проблемы, для эксплуатации которых требуется использование техник социальной инженерии, сообщений о применении фишинга;
• социальную инженерию сотрудников или подрядчиков Яндекса;
• обход проверок в мобильном приложении для курьеров-партнеров на запуск приложения в системах с jailbreak или на устройствах с root-привилегиями;
• уязвимости в приложениях на устройстве, которые не оказывают значительного влияния на безопасность;
• раскрытие Access keys, которые имеют ограничения или зашитые в.apk и не дают доступа к персональным данным;
• отчеты сканеров безопасности и других автоматизированных инструментов;
• раскрытие некритичной информации, такой как наименование программного обеспечения или его версии;
• раскрытие публичной пользовательской информации;
• проблемы и уязвимости, которые основаны на версии используемого продукта, без демонстрации эксплуатации;
• информацию об IP-адресах, DNS-записях и открытых портах Яндекса;
• сообщения об ошибках нулевого дня в TLS;
• отчеты о небезопасных шифрах SSL/TLS без демонстрации эксплуатации;
• отсутствие SSL и других BCP (best current practice);
• физические атаки на собственность Яндекса или его дата-центры;
• проблемы отсутствия механизмов безопасности без демонстрации эксплуатации, которая может затронуть данные пользователей. Например, отсутствие CSRF-токенов, Clickjacking и т. д.;
• Login/Logout CSRF или других действий без доказанного влияния на безопасность;
• открытые перенаправления, но если только проблема не влияет на безопасность сервиса, например, позволяет украсть пользовательский аутентификационный токен. С этой проблемой вы можете претендовать на добавление в Зал Славы;
• Self XSS, XSS с эксплуатацией не в браузерах Яндекс.Браузер, Chrome или Firefox. С этой проблемой вы можете претендовать на добавление в Зал Славы;
• Reflected download, same site scripting и другие атаки с сомнительным влиянием на безопасность сервиса;
• инъекции формул Excel и CSV;
• отсутствие CSP-политик на домене или небезопасная конфигурация CSP;
• XSS и CSRF, которые требуют дополнительных действий от пользователя. Вознаграждение выплачивается, только если они затрагивают чувствительные данные пользователя и срабатывают сразу при переходе на специально сформированную страницу, не требуя от пользователя дополнительных действий;
• XSS, которая требует внедрения или подделки какого-либо заголовка, например, Host, User-Agent, Referer, Cookie и т. д. С этой проблемой вы можете претендовать на добавление в Зал Славы;
• CORS Misconfiguration на домене mc.yandex.ru, mc.yandex.com и других рекламных доменах без доказанного влияния на безопасность;
• Tabnabbing — target="_blank" в ссылках без доказанного влияния на безопасность;
• Content spoofing, content injection или text injection без доказанного влияния на безопасность;
• отсутствие флагов на нечувствительных файлах cookie;
• наличие атрибута автозаполнения на веб-формах;
• отсутствие Rate Limit без доказанного влияния на безопасность;
• наличие или отсутствие записей SPF и DKIM;
• использование известной уязвимой библиотеки без демонстрации эксплуатации;
• уязвимости в партнерских сервисах, если не затронуты данные пользователей Яндекса;
• сообщения об уязвимости паролей или парольных политик и других аутентификационных данных пользователей;
• уязвимости, которые затрагивают только пользователей устаревших или уязвимых браузеров и платформ;
• атаки, требующие физического доступа к устройству пользователя;
• возможность исполнять скрипты на sandbox-доменах или доменов без сессионных cookies, например, *.yandex.net, *.yandex-bank.net;
• факт наличия возможности декомпиляции или использования обратной разработки приложений.

За сообщение об ошибке в работе сервисов, расположенных на доменах yandex.net и yandex.st, вознаграждение выплачивается только за уязвимости класса server side.