«Яндекс» перезапустил программу вознаграждений «Охота за ошибками»
9 июня 2021 года «Яндекс» объявил о перезапуске программы вознаграждений «Охота за ошибками». Компания увеличила выплаты до 750 тыс. рублей за уязвимость с удаленным выполнением кода, а также сделала условия для участников прозрачнее.
Так «Яндекс» решил мотивировать специалистов в области кибербезопасности искать новые уязвимости по двум направлениям — инфраструктура, веб-сервисы, и приложения, а также отдельно по «Яндекс.Браузеру». Причем подробно описанный выход из его песочницы оценивается в 370 тыс. рублей, а за базовое описание можно получить 220 тыс. рублей.
«Яндекс» отдельно пояснил в каждом направлении, что не выплачивает вознаграждения за большой список различных ситуаций и векторов атак, а также за некритичные уязвимости или некорректные методы обнаружения багов. Например, за физические атаки на собственность «Яндекса» или его дата-центры, использование сканеров безопасности, применение социальной инженерии на сотрудниках или подрядчиках «Яндекса», а также атаки, требующие физического доступа к устройству пользователя.
«Яндекс» пообещал, что теперь будет быстрее реагировать на сообщения об уязвимости. Их будут оперативно рассматривать дежурные инженеры службы безопасности вместе с командой сервиса, в котором найдена ошибка. С другой стороны, «Яндекс» пояснил, что «решение об уровне критичности компания часто принимается совместно с разработчиками, и это может занимать какое-то время».
Также компания рассказала, что в программе вознаграждений «Охота за ошибками» появилась собственная служба поддержки, куда могут обращаться участники программы с любыми вопросами по поводу соблюдения различных правил, условий и этапов получения вознаграждений.
«Яндекс» запустил программу вознаграждений «Охота за ошибками» в 2012 году. За время ее работы компания выплатила «этичным хакерам» более 30 млн рублей. До 2021 года максимальная сумма единоразовой выплаты составляла 170 тыс. рублей, лишь в некоторых особых случаях вознаграждение могло быть больше. Компания не уточнила в каких именно.