категории | RSS

«Яндекс» запустил новый конкурс по усилению защиты данных в рамках своей программы «Охоты за ошибками»

25 декабря 2023 года «Яндекс» запустил очередной конкурс по усилению защиты данных в рамках текущей багбаунти программы «Охоты за ошибками». Этичным хакерам предлагается активно искать в сервисах компании ошибки и уязвимости типа XSS, которые могут привести к раскрытию чувствительной информации. Конкурс продлится до 31 января. В это время награда за все типы XSS-уязвимостей увеличена в несколько раз. Максимальная выплата по этому направлению составит 500 тысяч рублей.

Ключевая цель конкурса — поиск XSS-уязвимостей, межсайтового выполнения скриптов. Злоумышленники могут использовать уязвимости такого типа для атаки на приложения и сервисы. Они ищут способы обойти политики безопасности, вставить вредоносный код на веб-страницы и атаковать аккаунты, чтобы совершать действия на сайте от имени пользователей.

Во время конкурса «Яндекса» награда за все типы XSS-уязвимостей увеличена в несколько раз. Она будет зависеть от критичности уязвимости, простоты её использования и влияния на безопасность данных пользователей и партнёров. Максимальная награда за критическую уязвимость составит 500 тысяч рублей.

В компании пояснили, что «Яндекс» борется с XSS-атаками и снижает риски внедрения вредоносного кода с помощью специальных мер. Например, в сервисах «Яндекса» используется Content Security Policy — международный стандарт, который позволяет указывать, из каких источников сайт может загружать скрипты, картинки, шрифты и другой контент. Он затрудняет выполнение на сайте вредоносного кода и блокирует загрузку контента из недостоверных источников.

В рамках нового конкурса для проверки возможных уязвимостей участники программы «Охоты за ошибками» должны использовать только собственные тестовые аккаунты, пытаться получить доступ к информации других пользователей запрещено. «Яндекс» отдаст приоритет всем найденным ошибкам и оперативно их исправит.

«Яндекс» регулярно проводит конкурсы, посвящённые разным категориям программы «Охота за ошибками», предыдущий конкурс по защите данных прошёл в августе 2023 года. «Охота за ошибками» — это программа по премированию этичных хакеров, которые ищут уязвимости в продуктах и получают за них награду.

Летом этого года «Яндекс» увеличил фонд своей программы багбаунти «Охота за ошибками» в 2023 году в 2 раза до 100 млн рублей. В 2022 году компания выплатила белым хакерам 39,7 млн рублей за нахождение уязвимостей и багов в своих сервисах и службах.

С 2012 года в программе поучаствовало около 4,5 тыс. исследователей и белых хакеров, которые сообщили о более чем 16 тыс. найденных технических уязвимостях в веб-сервисах или мобильных/десктопных приложениях, инфраструктуре и некоторых умных устройствах "Яндекса". Компания не раскрыла, сколько выплатила всего денег белым хакерам за 10 лет работы программы.

Согласно правилам программы, «Яндекс» вручает награды только за обнаружение новых уязвимостей. В течение 90 дней после отправки сообщения об ошибке о ней нельзя никому и нигде рассказывать. «Яндекс» выплачивает вознаграждения на карту "Сбера" или других банков, согласно заполненной анкете от участника программы.

Участвовать в «Охоте за ошибками» могут пользователи в возрасте 14 лет и старше. При этом те, кто младше 18, могут принять участие только с письменного согласия родителей.

Для зарубежных белых хакеров «Яндекс» по программе «Охота за ошибками» предлагает выплаты в долларах. Например, до $10 тыс. за RCE в инфраструктуре, веб-сервисах, приложениях «Яндекса».



Источник новости: habr.com

DimonVideo
2023-12-25T10:50:04Z

Здесь находятся
всего 0. За сутки здесь было 0 человек
Яндекс.Метрика