«Охота за ошибками» продолжается

Прошло чуть больше месяца с тех пор, как Яндекс запустил «Охоту за ошибками». За это время Яндексу поступило около 500 сообщений об уязвимостях, на большинство из которых уже дан ответ, и были выплачены первые награды.

Напомним, в конце сентября компания Яндекс запустила «Охоту за ошибками»: в рамках конкурса любой желающий может попытаться найти уязвимость и получить денежный приз. Под прицелом - технические недостатки, используя которые можно нарушить целостность или конфиденциальность пользовательской информации, а также изменить права доступа к ней.

За октябрь и половину ноября Яндексу поступило уже около 500 сообщений, на большинство из которых уже дан ответ, и были выплачены первые награды. Как рассказывают представители Яндекса, сообщают как об обычных проблемах, например об «открытой переадресации», так и сложных – к примеру, о чтении участков памяти веб-сервера.

Если и вы обнаружили какую-то проблему, компания Яндекс просит следовать двум рекомендациям:

• Во-первых, придерживаться принципа «одна уязвимость – одно письмо»;
• Во-вторых, как можно подробнее описывать шаги для воспроизведения проблемы, прикладывать скриншоты.

Размер награды зависит от сервиса, на котором была обнаружена уязвимость.

Об уязвимостях необходимо сообщать по адресу security-report@yandex-team.ru или через форму.