«Яндекс» перезапустил программу вознаграждений «Охота за ошибками»

9 июня 2021 года «Яндекс» объявил о перезапуске программы вознаграждений «Охота за ошибками». Компания увеличила выплаты до 750 тыс. рублей за уязвимость с удаленным выполнением кода, а также сделала условия для участников прозрачнее.

Так «Яндекс» решил мотивировать специалистов в области кибербезопасности искать новые уязвимости по двум направлениям — инфраструктура, веб-сервисы, и приложения, а также отдельно по "Яндекс.Браузеру". Причем подробно описанный выход из его песочницы оценивается в 370 тыс. рублей, а за базовое описание можно получить 220 тыс. рублей.

«Яндекс» отдельно пояснил в каждом направлении, что не выплачивает вознаграждения за большой список различных ситуаций и векторов атак, а также за некритичные уязвимости или некорректные методы обнаружения багов. Например, за физические атаки на собственность «Яндекса» или его дата-центры, использование сканеров безопасности, применение социальной инженерии на сотрудниках или подрядчиках «Яндекса», а также атаки, требующие физического доступа к устройству пользователя.

«Яндекс» пообещал, что теперь будет быстрее реагировать на сообщения об уязвимости. Их будут оперативно рассматривать дежурные инженеры службы безопасности вместе с командой сервиса, в котором найдена ошибка. С другой стороны, «Яндекс» пояснил, что «решение об уровне критичности компания часто принимается совместно с разработчиками, и это может занимать какое-то время».

Также компания рассказала, что в программе вознаграждений «Охота за ошибками» появилась собственная служба поддержки, куда могут обращаться участники программы с любыми вопросами по поводу соблюдения различных правил, условий и этапов получения вознаграждений.

«Яндекс» запустил программу вознаграждений «Охота за ошибками» в 2012 году. За время ее работы компания выплатила «этичным хакерам» более 30 млн рублей. До 2021 года максимальная сумма единоразовой выплаты составляла 170 тыс. рублей, лишь в некоторых особых случаях вознаграждение могло быть больше. Компания не уточнила в каких именно.

Источник

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»