Конкурс проводится с 01.07.2022 по 31.08.2022
На время конкурса мы удваиваем выплаты для этого сервиса.
Главная задача конкурса — поиск технических уязвимостей, которые могут привести к раскрытию личных данных пользователей и курьеров-партнёров, а также выявление возможностей для фрода в Яндекс Еде.
Мы выделяем несколько основных направлений.
Раскрытие пользовательских данных
Нас интересуют любые технические способы раскрытия приватных данных пользователей и курьеров-партнёров: например, телефонных номеров, адресов, состава заказов и так далее.
Примеры методов раскрытия данных:
Обход правил использования промокодов
Наши сервисы умеют работать со скидками и промокодами. Нас интересуют любые способы обхода действующих правил использования промокодов.
Примеры обхода правил:
Накрутка бонусных баллов Яндекс Плюса
Нам интересен любой технический способ получения баллов Плюса без траты денег со значительным ущербом.
Фрод со стороны курьеров-партнёров
Нас интересуют любые способы фрода со стороны курьеров.
Пример фрода:
Способы фрода в приложении для курьера, которые требуют наличия root-привилегий/jailbreak на устройстве, входят в рамки программы.
Домены
Инфраструктура
Для охоты подходят IP-адреса инфраструктуры Яндекса, которая обслуживает сервис Яндекс Еда. Узнать, кому принадлежит адрес, можно с помощью протокола Whois или по ASN в BGP. Исключение — пользовательские сети сервиса Yandex.Cloud.
Приложения
Уязвимости в других приложениях и сервисах Яндекса не относятся к этому конкурсу и оплачиваются в зависимости от того, в какую программу они входят. Список программ.
Яндекс не выплачивает вознаграждение за:
За сообщение об ошибке в работе сервисов, расположенных на доменах yandex.net и yandex.st, вознаграждение выплачивается только за уязвимости класса server side.
Вознаграждение удваивается на время конкурса Яндекс Еды и зависит от критичности уязвимости, простоты её использования и опасности для данных пользователей и курьеров-партнеров. В случае с фродом вознаграждение зависит от возможности масштабирования конкретного способа такого мошенничества, простоты его использования и степени причиняемого ущерба. Суммы вознаграждения можно посмотреть в таблице ниже.
Решение об уровне критичности мы будем принимать вместе с разработчиками — и на это может уйти некоторое время.
Вознаграждения
Уязвимость | Вознаграждение |
---|---|
Remote code execution (RCE) | 440 000 руб. — 1 500 000 руб. |
Local files access и другое. (LFR, RFI, XXE) | 150 000 руб. — 890 000 руб. |
Инъекции | 150 000 руб. — 890 000 руб. |
SSRF кроме слепых | 150 000 руб. — 600 000 руб. |
Слепая SSRF | 40 000 руб. — 200 000 руб. |
Утечки памяти / IDORs / Раскрытие информации с защищенными личными данными или конфиденциальной информацией пользователя | 18 000 руб. — 520 000 руб. |
Cross-Site Scripting (XSS) исключая self-XSS и домен *.yandex.net | 30 000 руб. — 220 000 руб. |
Cross-Site Request Forgery (СSRF, Flash crossdomain requests, CORS) | 15 000 руб. — 150 000 руб. |
Другие подтвержденные уязвимости | Зависит от критичности |
Разные способы фрода | 23 000 руб. — 230 000 руб. |