Вопросы и ответы
Если вы обнаружили проблему безопасности в одном из сервисов Яндекса, сообщите нам об этом через форму на сайте конкурса «Охота за ошибками».
На этой странице вы найдете ответы на часто задаваемые вопросы.
За какие уязвимости награда не вручается?
Яндекс не выплачивает вознаграждение за:
- отчеты сканеров безопасности и других автоматизированных инструментов;
- раскрытие некритичной информации, такой как наименование программного обеспечения или его версии;
- раскрытие публичной пользовательской информации;
- проблемы и уязвимости, которые основаны на версии используемого продукта, без демонстрации эксплуатации;
- информацию об IP-адресах, DNS-записях и открытых портах Яндекса;
- сообщения об ошибках нулевого дня в TLS;
- отчеты о небезопасных шифрах SSL/TLS без демонстрации эксплуатации;
- отсутствие SSL и других BCP (best current practice);
- физические атаки на собственность Яндекса или его дата-центры;
- проблемы отсутствия механизмов безопасности без демонстрации эксплуатации, которая может затронуть данные пользователей. Например, отсутствие CSRF-токенов, Clickjacking и т. д.;
- Login/Logout CSRF или других действий без доказанного влияния на безопасность;
- открытые перенаправления, если только проблема не влияет на безопасность сервиса, например, позволяет украсть пользовательский аутентификационный токен. С этой проблемой вы можете претендовать на добавление в Зал Славы;
- Self XSS, XSS с эксплуатацией не в браузерах Яндекс.Браузер, Chrome или Firefox. С этой проблемой вы можете претендовать на добавление в Зал Славы;
- Reflected download, same site scripting и другие атаки с сомнительным влиянием на безопасность сервиса;
- инъекции формул Excel и CSV;
- отсутствие CSP-политик на домене или небезопасная конфигурация CSP;
- XSS и CSRF, которые требуют дополнительных действий от пользователя. Вознаграждение выплачивается, только если они затрагивают чувствительные данные пользователя и срабатывают сразу при переходе на специально сформированную страницу, не требуя от пользователя дополнительных действий;
- XSS, которая требует внедрения или подделки какого-либо заголовка, например, Host, User-Agent, Referer, Cookie и т. д. С этой проблемой вы можете претендовать на добавление в Зал Славы;
- CORS Misconfiguration на домене
mc.yandex.tld
и других рекламных доменах без доказанного влияния на безопасность; - Tabnabbing —
target="_blank"
в ссылках без доказанного влияния на безопасность; - content spoofing, content injection или text injection без доказанного влияния на безопасность;
- отсутствие флагов cookie на нечувствительных файлах cookie;
- наличие атрибута автозаполнения на веб-формах;
- отсутствие Rate Limit без доказанного влияния на безопасность;
- наличие или отсутствие записей SPF и DMARC;
- использование известной уязвимой библиотеки без демонстрации эксплуатации;
- проблемы, для эксплуатации которых требуется использование техник социальной инженерии, сообщений о применении фишинга;
- социальную инженерию сотрудников или подрядчиков Яндекса;
- уязвимости в партнерских сервисах, если не затронуты данные пользователей Яндекса;
- сообщения об уязвимости паролей или парольных политик и других аутентификационных данных пользователей;
- сообщения об уязвимостях, которые найдены во внешних или пользовательских проектах, расположенных в Yandex.Cloud. Для определения принадлежности адреса вы можете воспользоваться протоколом WHOIS, bgb.he.net и т. д.;
- уязвимости на мобильных устройствах, которые для эксплуатации требуют наличие root-привилегий, jailbreak и любой другой модификации приложений или устройств;
- раскрытие Access keys, которые имеют ограничения или зашиты в .apk и не дают доступа к персональным данным;
- уязвимости, которые затрагивают только пользователей устаревших или уязвимых браузеров и платформ;
- атаки, требующие физического доступа к устройству пользователя;
- возможность исполнять скрипты на sandbox-доменах или доменов без сессионных cookies, например,
*.yandex.net
; - факт наличия возможности декомпиляции или использования обратной разработки приложений.
За сообщение об ошибке в работе сервисов, расположенных на доменах yandex.net
и yandex.st
, вознаграждение выплачивается только за уязвимости класса server side.
Данный список может различаться в зависимости от программы. Уточняйте исключения для каждой программы на ее странице в рамках «Охоты за ошибками».
Что произойдет после отправки сообщения об уязвимости?
После отправки сообщения вы получите автоматически сгенерированное письмо с номером вашей заявки — это означает, что Яндекс получил ваше сообщение об ошибке.
Обратите внимание, что сообщение может быть обработано, только если вы получили автоматический ответ с номером вашего сообщения об ошибке. Отправка ответного письма обычно занимает от нескольких минут до часа с момента отправки формы. Если вы не получили такое письмо (не забудьте поискать его в папке «Спам»), то, скорее всего, ваше сообщение до нас не дошло.
Если вы хотите сообщить нам дополнительную информацию об уязвимости, напишите об этом прямо в ответе на полученное письмо.
Наши специалисты обработают ваше обращение и при необходимости свяжутся с вами для уточнения деталей.
Обращаем ваше внимание на то, что Яндекс награждает пользователя, который первым сообщил о проблеме. Если вы обнаружили уязвимость — сообщите нам об этом как можно скорее.
Можно ли получить вознаграждение на счет в PayPal или другой электронной платежной системе?
Яндекс выплачивает вознаграждение через банковские переводы. Участники — нерезиденты РФ и иностранные граждане получают вознаграждение в долларах США по текущему курсу ЦБ РФ.
Проблемы с назначенной наградой
Если у вас возникли проблемы с получением награды или появились вопросы, связанные с заполнением формы финансовой информации, воспользуйтесь нашей формой поддержки.