Инфраструктура, веб-сервисы, приложения Яндекса

Вам нужно найти уязвимости в инфраструктуре, сервисах и приложениях Яндекса.

Территория охоты: домены, IP-адреса, десктопные приложения.

В рамках «Охоты за ошибками» все сервисы Яндекса классифицируются по категориям — уровням критичности.

За классификацию отвечает команда безопасности Яндекса: она определяет уровень критичности каждого сервиса по внутренней модели угроз для целей «Охоты».

• *.yandex.ru

• *.yandex.com

• *.yandex.com.tr

• *.yandex.kz

• *.yandex.by

• *.yandex.st

• *.yandex.net

• *.ya.ru

• *.yandex-bank.net

• *.kinopoisk.ru

• *.auto.ru

• *.edadeal.ru

• *.bookmate.ru

• *.band.link

Для охоты подходят только IP-адреса компании «Яндекс». Узнать, кому принадлежит адрес, можно с помощью протокола Whois или по ASN в BGP.

Исключение — пользовательские сети сервиса Yandex Cloud.

Участвуют все публичные мобильные приложения Яндекса. Полную информацию по программе мобильных приложений можно найти здесь.

Яндекс не выплачивает вознаграждение за:

  • отчеты сканеров безопасности и других автоматизированных инструментов;
  • раскрытие некритичной информации, такой как наименование программного обеспечения или его версии;- раскрытие публичной пользовательской информации;
  • проблемы и уязвимости, которые основаны на версии используемого продукта, без демонстрации эксплуатации;
  • информацию об IP-адресах, DNS-записях и открытых портах Яндекса;
  • сообщения об ошибках нулевого дня в TLS;
  • отчеты о небезопасных шифрах SSL/TLS без демонстрации эксплуатации;
  • отсутствие SSL и других BCP (best current practice);
  • физические атаки на собственность Яндекса или его дата-центры;
  • проблемы отсутствия механизмов безопасности без демонстрации эксплуатации, которая может затронуть данные пользователей. Например, отсутствие CSRF-токенов, Clickjacking и т. д.;
  • Login/Logout CSRF или других действий без доказанного влияния на безопасность;
  • открытые перенаправления, но если только проблема не влияет на безопасность сервиса, например, позволяет украсть пользовательский аутентификационный токен. С этой проблемой вы можете претендовать на добавление в Зал Славы;
  • Self XSS, XSS с эксплуатацией не в браузерах Яндекс Браузер, Chrome или Firefox. С этой проблемой вы можете претендовать на добавление в Зал Славы;
  • [NEW] Исключение которое вознаграждается: хранимые self xss, срабатывающие сразу при переходе на заданную страницу с сохраненным вектором
  • Reflected download, same site scripting и другие атаки с сомнительным влиянием на безопасность сервиса;
  • инъекции формул Excel и CSV;
  • отсутствие CSP-политик на домене или небезопасная конфигурация CSP;
  • XSS и CSRF, которые требуют дополнительных действий от пользователя. Вознаграждение выплачивается, только если они затрагивают чувствительные данные пользователя и срабатывают сразу при переходе на специально сформированную страницу, не требуя от пользователя дополнительных действий (взаимодействие с ссылками со схемой javascript: входят в рамки программы);
  • XSS, которая требует внедрения или подделки какого-либо заголовка, например, Host, User-Agent, Referer, Cookie и т. д. С этой проблемой вы можете претендовать на добавление в Зал Славы;
  • CORS Misconfiguration на домене mc.yandex.ru, mc.yandex.com и других рекламных доменах без доказанного влияния на безопасность;
  • Tabnabbing — target="_blank" в ссылках без доказанного влияния на безопасность;
  • Content spoofing, content injection или text injection без доказанного влияния на безопасность;
  • отсутствие флагов на нечувствительных файлах cookie;
  • наличие атрибута автозаполнения на веб-формах;
  • отсутствие Rate Limit без доказанного влияния на безопасность;
  • наличие или отсутствие записей SPF, DKIM и DMARC;
  • использование известной уязвимой библиотеки без демонстрации эксплуатации;
  • проблемы, для эксплуатации которых требуется использование техник социальной инженерии, сообщений о применении фишинга;
  • социальную инженерию сотрудников или подрядчиков Яндекса;
  • уязвимости в партнерских сервисах, если не затронуты данные пользователей Яндекса;
  • сообщения об уязвимости паролей или парольных политик и других аутентификационных данных пользователей;
  • сообщения об уязвимостях, которые найдены во внешних или пользовательских проектах, расположенных в Yandex Cloud. Для определения принадлежности адреса вы можете воспользоваться протоколом WHOIS, bgb.he.net и т. д.;
  • уязвимости на мобильных устройствах, которые для эксплуатации требуют наличие root-привилегий, jailbreak и любой другой модификации приложений или устройств;
  • раскрытие Access keys, которые имеют ограничения или зашитые в.apk и не дают доступа к персональным данным;
  • уязвимости, которые затрагивают только пользователей устаревших или уязвимых браузеров и платформ;
  • атаки, требующие физического доступа к устройству пользователя;
  • возможность исполнять скрипты на sandbox-доменах или доменов без сессионных cookies, например, *.yandex.net, *.yandex-bank.net;
  • домены сервиса Коннект на время переходного периода в пользу 360;
  • факт наличия возможности декомпиляции или использования обратной разработки приложений.
  • [NEW] Почтовый спам (email bombing) письмами от сервисов Яндекса. Исключение:  возможность контролировать значимую часть письма.
  • [NEW] СМС спам. Исключение, которые могут вознаграждаться:  возможность обхода ограничений на количество либо возможность контролировать значимую часть сообщения. 
  • [NEW] Обходы "антивируса" (механизма проверки безопасности вложений) относятся к социальной инженерии и не награждаются финансово.
  • [NEW] Атаки, требующие возможности локального выполнения кода в системе (например, DLL Hijacking атаки).

За сообщение об ошибке в работе сервисов, расположенных на доменах yandex.net и yandex.st, вознаграждение выплачивается только за уязвимости класса server side.

Сервисы аутентификации
Яндекс ID Почта
Ключевые сервисы
Алиса и API Умных Устройств
Геосервисы: Карты, Навигатор
Маркет
Платежная инфраструктура: Баланс, Платежный шлюз
Плюс
Поиск
Рекламные сервисы: Метрика, Директ, Рекламная сеть
Сервисы 360: Вики, Трекер, Формы, Мессенджер, Диск
Такси
БанкСплитПейФинтех: Яндекс Пэй, Банк, Сплит
ЛавкаЕда Фудтех: Еда, Лавка
Основные сервисы
Все основные сервисы Яндекса
Новые сервисы
Экспериментальные сервисы Яндекса
Приобретенные сервисы
Недавно вошедшие в состав Яндекса сервисы могут оцениваться по иным правилам.
Рекомендуем уточнить статус через бота Поддержки
Полный перечень сервисов Яндекса можно найти здесь
{ Вознаграждения }
  • В таблице указаны максимальные суммы наград;
  • В отдельных случаях размер вознаграждения может быть увеличен.
  • Разные домены одного сервиса могут находится в разных категориях. Например: главный сайт в "Ключевой" категории, а некоторые поддомены в "Основных/Новых".
    • Уязвимость
    Сервисы аутентификации
    Ключевые сервисы
    Основные сервисы
    Новые сервисы
    Remote code execution (RCE)
    3,000,000 ₽
    1,200,000 ₽
    750,000 ₽
    450,000 ₽
    Компрометация учетной записи
    3,000,000 ₽
    51,337 —
    100,000 ₽

    На размер награды влияют: размер подверженной аудитории, комбинация настроек безопасности и сложность эксплуатации.

    1. Сценарий эксплуатации, позволяющий получить доступ к любому профилю, даже при настроенном 2FA и не требующий кликов — 3,000,000 ₽

    2. Ошибка, влияющая лишь на тех пользователей, у кого выбран вход по СМС — 1,000,000 ₽
    Если от пользователя требуется 2 клика — 500,000 ₽

    3. Сервис недавно вошёл в состав Яндекса, профили не хранятся в Яндекс ID — 51,337 ₽

    Local files access и другое. (LFR, RFI, XXE)
    1,000,000 ₽
    600,000 ₽
    375,000 ₽
    150,000 ₽
    SQL-Инъекции
    1,000,000 ₽
    600,000 ₽
    375,000 ₽
    150,000 ₽
    SSRF кроме слепых
    600,000 ₽
    300,000 ₽
    225,000 ₽
    150,000 ₽
    Слепая SSRF
    Рекомендуем применять ssrf-sheriff
    200,000 ₽
    150,000 ₽
    115,000 ₽
    45,000 ₽
    IDORs / Раскрытие чувствительной информации
    225,000 —
    550,000 ₽
    75,000 — 500,000 ₽
    45,000 — 120,000 ₽
    24,000 —
    45,000 ₽
    На размер награды влияет:

    1. Значимость затрагиваемых данных
    Сервисы обрабатывают разные данные и чувствительность этих данных отличается.
    Выше всего оценивается доступ к истории поездок/заказов, личным письмам, документам (включая, но не ограничиваясь этим списком)

    2. Сложность идентификатора
    Уязвимость с инкрементальными ID, как правило, опаснее, чем с UUID4

    3. Размер затронутой аудитории

    В отдельных случаях размер награды может быть как увеличен, так и уменьшен, если эксплуатация сильно усложнена.
    Cross-Site Request Forgery (СSRF)
    30,000 —
    187,000 ₽
    30,000 —
    75,000 ₽
    30,000 —
    45,000 ₽
    15,000 —
    30,000 ₽
    Cross-Site Scripting (XSS) исключая self-XSS и домен *.yandex.net
    31,000 —
    240,000 ₽
    31,000 —
    120,000 ₽
    30,000 —
    75,000 ₽
    10,000 —
    45,000 ₽
    Другие подтвержденные уязвимости
    Зависит от критичности
    { Обратите внимание }
    Размер вознаграждения зависит от критичности уязвимости, простоты её эксплуатации и воздействию на данные пользователей.
    Вознаграждение может быть уменьшено если эксплуатация уязвимости усложнена компенсирующими мерами.
    Решение об уровне критичности часто принимается совместно с разработчиками, в среднем это может занимать до 30 рабочих дней.
    Недавно приобретенные сервисы могут не сразу попадать в «Охоту», либо иметь ограниченный скоуп с увеличенными сроками разбора отчетов.
    Рекомендуем перед отправкой отчета уточнить статус через бота Поддержки.
    Внимательно ознакомьтесь с правилами поиска уязвимостей в 3rd-party ПО.