Служба поддержки конкурса «Охота за ошибками»

Если вы обнаружили проблему безопасности в одном из сервисов Яндекса, сообщите нам об этом через форму на сайте конкурса «Охота за ошибками». Так Яндекс сможет быстрее обработать присланную информацию и ответить вам.

На этой странице вы найдете ответы на наиболее часто задаваемые вопросы.

  1. За какие уязвимости награда не вручается?
  2. Что произойдет после отправки сообщения об уязвимости?
  3. Можно ли получить вознаграждение на счет в PayPal или другой электронной платежной системе?
  4. Нет подходящей темы

За какие уязвимости награда не вручается?

Яндекс не выплачивает вознаграждение за:
  • Сообщения об уязвимостях, найденных на сторонних сайтах и сервисах, взаимодействующих с Яндексом.
  • Сообщения о пользовательских аутентификационных данных (например, о ненадежных паролях).
  • Предупреждения о возможных DDoS-атаках на Яндекс.
  • Оповещения об использовании техник социальной инженерии (например, фишинге).
  • Отчеты сканеров безопасности.
  • Информацию об IP-адресах, DNS-записях и открытых портах Яндекса.
  • Информацию об использовании устаревших или потенциально уязвимых версий ПО, полученную методом Banner grabbing.
  • Сообщения об ошибках нулевого дня в TLS.

Если вы нашли ошибку в работе сервисов, расположенных на доменах yandex.net и yandex.st, то Яндекс выплатит вознаграждение только если это уязвимость вида «Инъекции» или «Ошибки конфигурации веб-окружения».

Вознаграждение за обнаружение уязвимостей видов XSS и СSRF выплачивается, только если они затрагивают чувствительные данные пользователя и срабатывают сразу при переходе на специально сформированную страницу, не требуя от пользователя дополнительных действий.

Что произойдет после отправки сообщения об уязвимости?

После отправки сообщения вы получите автоматически сгенерированное письмо с номером вашей заявки — это означает, что Яндекс получил ваше сообщение об ошибке. Если вы хотите сообщить нам дополнительную информацию об уязвимости, напишите об этом прямо в ответе на полученное письмо.

Наши специалисты обработают ваше обращение и при необходимости свяжутся с вами для уточнения деталей. Максимальный срок обработки заявки — 30 рабочих дней.

В случае присуждения награды мы попросим вас прислать реквизиты, необходимые для денежного перевода.

Обращаем ваше внимание на то, что Яндекс награждает пользователя, который первым сообщил о проблеме. Если вы обнаружили уязвимость — сообщите нам об этом как можно скорее.

Можно ли получить вознаграждение на счет в PayPal или другой электронной платежной системе?

Яндекс выплачивает вознаграждение через банковские переводы. Участникам — нерезидентам РФ и иностранным гражданам вознаграждение выплачивается в долларах США (USD) по текущему курсу ЦБ РФ.

Нет подходящей темы

Если ваш вопрос связан с конкурсом «Охота за ошибками», но вы не нашли на него ответ в разделе обратной связи, задайте его нам. Пожалуйста, подробно опишите возникшую проблему.