1. Программы ограничиваются техническими уязвимостями в веб-сервисах или мобильных/десктопных приложениях, инфраструктуре и некоторых умных устройств компании, которые входят в ее рамки. Чтобы сообщить о проблемах, которые не связаны с безопасностью, обратитесь в техническую поддержку Яндекса.

2. Яндекс вручает награды только за обнаружение новых уязвимостей. Сообщение об ошибке считается дубликатом, если исходное сообщение было прислано раньше, чем дублирующее, или имеет меньший номер сообщения.

3. Различные вектора использования одной и той же ошибки или похожих ошибок могут считаться дублирующими. Сообщение об ошибке также может считаться дубликатом, если во внутреннем трекере задач есть задача, описывающая похожую ошибку, которая была найдена сотрудниками Яндекса или подрядчиками.

4. Общедоступные 0-day или 1-day уязвимости могут рассматриваться как дубликаты, если они известны нашей команде из общедоступных источников.

5. Участвовать в «Охоте за ошибками» могут пользователи в возрасте 14 лет и старше. При этом те, кто младше 18, могут принять участие только с письменного согласия родителей.

6. Сотрудники Яндекса или компаний-партнеров, а также авторы кода, в котором обнаружена уязвимость, не могут участвовать в «Охоте за ошибками».

7. Мы стараемся рассматривать сообщения как можно скорее, но если вам не ответили в течение трех рабочих дней, напомните о себе, ответив на письмо, которое вы получили после заполнения формы, не меняя тему письма.
Обратите внимание, что сообщение может быть обработано, только если вы получили автоматический ответ с номером вашего сообщения об ошибке. Отправка ответного письма обычно занимает от нескольких минут до часа с момента отправки формы. Если вы не получили такое письмо (не забудьте поискать его в папке «Спам»), то, скорее всего, ваше сообщение до нас не дошло.

8. Для тестирования и демонстрации уязвимостей можно использовать только свою учётную запись. Взламывать чужие учётные записи ни в коем случае нельзя. Никогда не пытайтесь получить доступ к чьим-либо данным.

9. В течение 90 дней после отправки сообщения об ошибке о ней нельзя никому и нигде рассказывать. Пожалуйста, не размещайте код обнаруженной уязвимости на публично доступных сервисах и ресурсах, чтобы информация не стала доступна третьим лицам.
Мы также рекомендуем не раскрывать подробности уязвимости, если вышел срок в 90 дней, до тех пор, пока уязвимость не будет устранена и исправление не будет выпущено для большинства пользователей.
Ошибки, раскрытые публично или третьим лицам, могут быть лишены вознаграждения.

10. [New] Награда может быть снижена или не назначена, если отчет написан некачественно: например пропущены "шаги для воспроизведения", а исследователь не отвечает на уточняющие запросы от службы информационной безопасности.

11. Вознаграждений могут быть лишены сообщение об ошибках, если мы обнаружим:

• физическое вмешательство в дата-центры или офисы Яндекса;
• взлом инфраструктуры компании и использование полученной информации для сообщения об уязвимостях;
• социальную инженерию, направленную на сотрудников компании;
• попытку получить доступ к учетной записи или данным произвольного пользователя или постэксплуатацию другой уязвимости, которая не требуется для демонстрации ошибки;
• DOS-атаки и другие атаки на исчерпание ресурсов. Если вы считаете, что нашли уязвимость с высоким уровнем критичности, которая ведет к различным видам отказа в обслуживании инфраструктуры или сервисов, не пытайтесь ее проверять, а лучше пришлите нам, и мы в тестовых условиях проверим вашу гипотезу;
• получение доступа к чужим аккаунтам или к любым их конфиденциальным данным. Используйте свои тестовые аккаунты как цель для проверки возможности получения доступа к данным или целиком к аккаунту.

12. Будьте аккуратны и помните, что вы тестируете production-среду.