До 750 000 рублей за найденную уязвимость — Яндекс перезапустил программу «Охота за ошибками»

Достаточно щедро, хотя обязательно найдутся те, кому и этого мало.

В блоге Яндекса появилось объявление о перезапуске программы премирования специалистов по кибербезопасности. Теперь «этичные хакеры» смогут заработать на нахождении уязвимостей в сервисах компании до 750 тыс рублей.

Наибольшую награду назначили за «дыры», позволяющие злоумышленникам удалённо запустить свой код на серверах IT-гиганта. 

Также в Яндексе заявили о разделении программы на два направления. Первое — инфраструктура, сервисы и приложения Яндекса. Второе — только Яндекс.Браузер. Внутри каждого из направлений имеется своя подробная классификация уязвимостей.

Одним из приятных нововведений, которое принесёт перезапуск «Охоты за ошибками», является ускорение «мини-расследований по найденным ошибкам». Это стало возможным благодаря вовлечению в процесс как дежурных инженеров службы безопасности, так и команды сервиса, в котором была найдена ошибка.

В каком случае вас могут лишить награды?

Компания объявила, что может отказать в выплате вознаграждения, если обнаружит:

  • физическое вмешательство в дата-центры или офисы Яндекса;
  • взлом инфраструктуры компании и использование полученной информации для сообщения об уязвимостях;
  • социальную инженерию, направленную на сотрудников компании;
  • попытку получить доступ к учётной записи или данным произвольного пользователя или постэксплуатацию другой уязвимости, которая не требуется для демонстрации ошибки;
  • DOS-атаки и другие атаки на исчерпание ресурсов;
  • получение доступа к чужим аккаунтам или к любым их конфиденциальным данным.

Источник: Блог Яндекса