Войти
Программы ограничиваются техническими уязвимостями в веб-сервисах или мобильных/десктопных приложениях, инфраструктуре и некоторых умных устройств компании, которые входят в ее рамки. Чтобы сообщить о проблемах, которые не связаны с безопасностью, обратитесь в техническую поддержку Яндекса.
Яндекс вручает награды только за обнаружение новых уязвимостей. Сообщение об ошибке считается дубликатом, если исходное сообщение было прислано раньше, чем дублирующее, или имеет меньший номер сообщения.
Различные вектора использования одной и той же ошибки или похожих ошибок могут считаться дублирующими. Сообщение об ошибке также может считаться дубликатом, если во внутреннем трекере задач есть задача, описывающая похожую ошибку, которая была найдена сотрудниками Яндекса или подрядчиками.
Общедоступные 0-day или 1-day уязвимости могут рассматриваться как дубликаты, если они известны нашей команде из общедоступных источников.
Участвовать в «Охоте за ошибками» могут пользователи в возрасте 14 лет и старше. При этом те, кто младше 18, могут принять участие только с письменного согласия родителей.
Сотрудники Яндекса или компаний-партнеров, а также авторы кода, в котором обнаружена уязвимость, не могут участвовать в «Охоте за ошибками».
Мы стараемся рассматривать сообщения как можно скорее, но если вам не ответили в течение трех рабочих дней, напомните о себе, ответив на письмо, которое вы получили после заполнения формы, не меняя тему письма. Обратите внимание, что сообщение может быть обработано, только если вы получили автоматический ответ с номером вашего сообщения об ошибке. Отправка ответного письма обычно занимает от нескольких минут до часа с момента отправки формы. Если вы не получили такое письмо (не забудьте поискать его в папке «Спам»), то, скорее всего, ваше сообщение до нас не дошло.
Для тестирования и демонстрации уязвимостей можно использовать только свою учётную запись. Взламывать чужие учётные записи ни в коем случае нельзя. Никогда не пытайтесь получить доступ к чьим-либо данным.
В течение 90 дней после отправки сообщения об ошибке о ней нельзя никому и нигде рассказывать. Пожалуйста, не размещайте код обнаруженной уязвимости на публично доступных сервисах и ресурсах, чтобы информация не стала доступна третьим лицам. Мы также рекомендуем не раскрывать подробности уязвимости, если вышел срок в 90 дней, до тех пор, пока уязвимость не будет устранена и исправление не будет выпущено для большинства пользователей. Ошибки, раскрытые публично или третьим лицам, могут быть лишены вознаграждения.
Награда может быть снижена или не назначена, если отчет написан некачественно: например пропущены "шаги для воспроизведения", а исследователь не отвечает на уточняющие запросы от службы информационной безопасности.
Вознаграждений могут быть лишены сообщение об ошибках, если мы обнаружим:
Будьте аккуратны и помните, что вы тестируете production-среду.
[NEW] Сетевые DOS-атаки и другие атаки на исчерпание ресурсов.
Нам важна постоянная доступность наших сервисов для всех пользователей. Мы призываем не проверять и не эксплуатировать потенциальные уязвимости ведущие к отказу в обслуживании и деградации наших сервисов.
Если вы считаете, что нашли поведение, потенциально приводящее к различным видам отказа в обслуживании инфраструктуры или сервисов, пришлите нам, не проверяя лично. Мы самостоятельно проверим вашу гипотезу в тестовых условиях.