Конкурс по поиску уязвимостей в веб-сервисах Яндекса «Охота за ошибками»

Подробности

Продолжается конкурс «Охота за ошибками», объявленный компанией Яндекс в 2012 году.

В рамках конкурса Яндекс выплачивает награды за обнаруженные проблемы в безопасности своих сервисов. Любой желающий может попытаться найти уязвимость, сообщить организаторам конкурса об этом и получить денежный приз, а также попасть в Зал славы.

«Ошибки» можно искать на веб-сервисах, а также в мобильных приложениях Яндекса для iOS и Android, которые так или иначе работают с личной информацией пользователей. Личная информация — это, например, логины и пароли, переписка, фото- и видеоальбомы.

Домены веб-сервисов: yandex.ru, yandex.com, yandex.com.tr, yandex.kz, yandex.ua, yandex.by, yandex.net, yandex.st, ya.ru, moikrug.ru (кроме доменов Яндекс.Народ).

Мобильные приложения: Карты, Навигатор, Музыка, Такси, Почта, Маркет, Метро, Фотки, Электрички, Диск.

Искать следует уязвимости — технические недостатки, используя которые можно нарушить целостность или конфиденциальность пользовательской информации, а также изменить права доступа к ней.

В качестве классификации уязвимостей для веб-сервисов используется OWASP Top-10, для мобильных приложений — OWASP Mobile Top-10.

Размер награды (от 3000 до 100 000 рублей) зависит от сервиса, на котором была обнаружена уязвимость. Сервисы делятся на две группы: критичные и все остальные. Критичные: Паспорт, Почта, Диск, Карты, Календарь, Мой Круг, главная страница Яндекса, страница результатов поиска.

Предпочтительным способом отправки сообщения о найденной «ошибке» является использование специальной формы, в этом случае организаторы Конкурса смогут оперативнее обработать присланную вами информацию и ответить вам.

Также вы можете послать ваше сообщение на адрес Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра., воспользовавшись при необходимости нашим PGP-ключом для шифрования.

Ограничения

  • Для тестирования и демонстрации уязвимостей разрешается использовать только свою учётную запись. Взламывать чужие аккаунты ни в коем случае нельзя.
  • В течение 90 дней после отправки сообщения об уязвимости в Яндекс нельзя раскрывать подробности о ней кому-либо ещё, в том числе публиковать их. Также необходимо приложить все разумные усилия для того, чтобы эта информация не стала доступна третьим сторонам.
  • Сотрудники Яндекса или компаний-партнёров не могут участвовать в конкурсе, как и авторы кода, в котором уязвимость обнаружена.
  • Награда вручается только за обнаружение новых уязвимостей. Выплата награды осуществляется Организатором не позднее 3 (трех) месяцев со дня сообщения Организатором Участнику о результатах оценки найденной уязвимости.

Информация о Конкурсе на сайте Яндекса: http://company.yandex.ru/security/.