Инфраструктура, веб-сервисы, приложения Яндекса

Для охоты подходят только IP-адреса компании «Яндекс». Узнать, кому принадлежит адрес, можно с помощью протокола Whois или по ASN в BGP.

Исключение — пользовательские сети сервиса Yandex Cloud.

Участвуют все публичные мобильные приложения Яндекса. Полную информацию по программе мобильных приложений можно найти здесь.

Яндекс не выплачивает вознаграждение за:

• отчеты сканеров безопасности и других автоматизированных инструментов;
• раскрытие некритичной информации, такой как наименование программного обеспечения или его версии;- раскрытие публичной пользовательской информации;
• проблемы и уязвимости, которые основаны на версии используемого продукта, без демонстрации эксплуатации;
• информацию об IP-адресах, DNS-записях и открытых портах Яндекса;
• сообщения об ошибках нулевого дня в TLS;
• отчеты о небезопасных шифрах SSL/TLS без демонстрации эксплуатации;
• отсутствие SSL и других BCP (best current practice);
• физические атаки на собственность Яндекса или его дата-центры;
• проблемы отсутствия механизмов безопасности без демонстрации эксплуатации, которая может затронуть данные пользователей. Например, отсутствие CSRF-токенов, Clickjacking и т. д.;
• Login/Logout CSRF или других действий без доказанного влияния на безопасность;
• открытые перенаправления, но если только проблема не влияет на безопасность сервиса, например, позволяет украсть пользовательский аутентификационный токен. С этой проблемой вы можете претендовать на добавление в Зал Славы;
• Self XSS, XSS с эксплуатацией не в браузерах Яндекс Браузер, Chrome или Firefox. С этой проблемой вы можете претендовать на добавление в Зал Славы;
• [NEW] Исключение которое вознаграждается: хранимые self xss, срабатывающие сразу при переходе на заданную страницу с сохраненным вектором
• Reflected download, same site scripting и другие атаки с сомнительным влиянием на безопасность сервиса;
• инъекции формул Excel и CSV;
• отсутствие CSP-политик на домене или небезопасная конфигурация CSP;
• XSS и CSRF, которые требуют дополнительных действий от пользователя. Вознаграждение выплачивается, только если они затрагивают чувствительные данные пользователя и срабатывают сразу при переходе на специально сформированную страницу, не требуя от пользователя дополнительных действий (взаимодействие с ссылками со схемой javascript: входят в рамки программы);
• XSS, которая требует внедрения или подделки какого-либо заголовка, например, Host, User-Agent, Referer, Cookie и т. д. С этой проблемой вы можете претендовать на добавление в Зал Славы;
• CORS Misconfiguration на домене mc.yandex.ru, mc.yandex.com и других рекламных доменах без доказанного влияния на безопасность;
• Tabnabbing — target="_blank" в ссылках без доказанного влияния на безопасность;
• Content spoofing, content injection или text injection без доказанного влияния на безопасность;
• отсутствие флагов на нечувствительных файлах cookie;
• наличие атрибута автозаполнения на веб-формах;
• отсутствие Rate Limit без доказанного влияния на безопасность;
• наличие или отсутствие записей SPF, DKIM и DMARC;
• использование известной уязвимой библиотеки без демонстрации эксплуатации;
• проблемы, для эксплуатации которых требуется использование техник социальной инженерии, сообщений о применении фишинга;
• социальную инженерию сотрудников или подрядчиков Яндекса;
• уязвимости в партнерских сервисах, если не затронуты данные пользователей Яндекса;
• сообщения об уязвимости паролей или парольных политик и других аутентификационных данных пользователей;
• сообщения об уязвимостях, которые найдены во внешних или пользовательских проектах, расположенных в Yandex Cloud. Для определения принадлежности адреса вы можете воспользоваться протоколом WHOIS, bgb.he.net и т. д.;
• уязвимости на мобильных устройствах, которые для эксплуатации требуют наличие root-привилегий, jailbreak и любой другой модификации приложений или устройств;
• раскрытие Access keys, которые имеют ограничения или зашитые в.apk и не дают доступа к персональным данным;
• уязвимости, которые затрагивают только пользователей устаревших или уязвимых браузеров и платформ;
• атаки, требующие физического доступа к устройству пользователя;
• возможность исполнять скрипты на sandbox-доменах или доменов без сессионных cookies, например, *.yandex.net, *.yandex-bank.net;
• домены сервиса Коннект на время переходного периода в пользу 360;
• факт наличия возможности декомпиляции или использования обратной разработки приложений.
• [NEW] Почтовый спам (email bombing) письмами от сервисов Яндекса. Исключения которые вознаграждаются: СМС спам, возможность контролировать значимую часть письма.
• [NEW] Обходы "антивируса" (механизма проверки безопасности вложений) относятся к социальной инженерии и не награждаются финансово.

За сообщение об ошибке в работе сервисов, расположенных на доменах yandex.net и yandex.st, вознаграждение выплачивается только за уязвимости класса server side.