«Яндекс» до конца августа запустил конкурс по Critical IDORs и увеличил в 5 раз выплаты за ошибки и уязвимости в рамках своей программы багбаунти «Охота за ошибками» в категориях IDOR (небезопасный прямой доступ к объектам, доступ к приватной информации с помощью ошибок в API) и «раскрытие чувствительной информации» (данные о местоположении, сохранённых файлах, приватных закладках и так далее).
Максимальная награда за критическую уязвимость по этим категориям составит 2,8 млн рублей, что в 5 раз больше обычных выплат по программе «Охота за ошибками».
Сумма вознаграждения по этому конкурсу для белых хакеров будет зависеть от критичности уязвимости, простоты её использования и влияния на безопасность данных пользователей и партнёров. Мероприятие с повышенными выплатами за уязвимости продлится до 31 августа.
«Яндекс» пояснил, что отдаст приоритет найденным во время конкурса ошибкам и оперативно их исправит. Исследователям разрешено использовать только собственные тестовые аккаунты для проверки возможных уязвимостей. Нельзя пытаться получить доступ к информации других пользователей.
В июне «Яндекс» сообщил, что увеличил фонд своей программы багбаунти «Охота за ошибками» в 2023 году в 2 раза до 100 млн рублей. В 2022 году компания выплатила белым хакерам 39,7 млн рублей за нахождение уязвимостей и багов в своих сервисах и службах.
С начала этого года «Яндекс» уже выплатил исследователям 35,5 млн в рамках своего багбаунти. Пока что большая часть вознаграждений пришлась на акцию компании с десятикратным повышением выплат за находки в категориях Remote Code Execution и SQL-инъекции. Самые большие награды в этом году составили 12 млн рублей, 7,5 млн рублей и 3,7 млн рублей. Размер вознаграждения зависит от критичности уязвимости, простоты её использования и влияния на данные пользователей.
«Яндекс» в рамках программы «Охота за ошибками» в 2023 году уже увеличил выплаты за уязвимости в два раза до 1,5 млн рублей за RCE. Также за поиск SQL-инъекций максимальная награда теперь составляет не 450 тыс. рублей, а 900 тыс. рублей.
Для зарубежных белых хакеров «Яндекс» по программе «Охота за ошибками» предлагает выплаты в долларах. Например, до $20 тыс. за RCE в инфраструктуре, веб-сервисах, приложениях «Яндекса».
С 2012 года в программе «Охота за ошибками» поучаствовало более 5 тыс. исследователей и белых хакеров, которые сообщили о более чем 16,5 тыс. найденных технических уязвимостях и багах в веб-сервисах или мобильных/десктопных приложениях, инфраструктуре и некоторых умных устройствах «Яндекса».
Согласно правилам программы, «Яндекс» вручает награды только за обнаружение новых уязвимостей. В течение 90 дней после отправки сообщения об ошибке о ней нельзя никому и нигде рассказывать. «Яндекс» выплачивает вознаграждения на карту «Сбера» или других банков, согласно заполненной анкете от участника программы.
Участвовать в «Охоте за ошибками» могут пользователи в возрасте 14 лет и старше. При этом те, кто младше 18, могут принять участие только с письменного согласия родителей.
Источник новости: habr.com