Спецпроекты

Безопасность

«Яндекс» заплатит до 750 тысяч рублей за сообщение об ошибке в своих продуктах

«Яндекс» перезапустил «Охоту за ошибками». Это программа премирования «этичных хакеров» — специалистов по компьютерной безопасности, которые находят уязвимости в продуктах «Яндекса» и сообщают нам об этом. Уже почти десять лет «Яндекс» ведёт «Охоту за ошибками». Компания устраняет ошибки, а тем, кто их обнаружил, выплачивает вознаграждение. С 2012 г. «Яндекс» перечислил участникам программы больше 30 млн руб.

В «Яндексе» говорят, что для компании «Охота за ошибками» — это возможность ещё раз проверить на прочность системы безопасности, поэтому она заинтересована в том, чтобы в программе поучаствовало больше хороших специалистов. В этом году «Охота» перезапущена: награды стали больше, а условия — прозрачнее.

Теперь за сообщение об ошибке можно получить до 750 тыс. руб. Выше всего оцениваются уязвимости, которые позволяют потенциальным злоумышленникам совершить так называемую инъекцию — то есть выполнить на сервере свой код.

В «Охоте за ошибками» два направления: первое — инфраструктура, сервисы и приложения «Яндекса», второе — «Яндекс.браузер». Для каждого направления разработана подробная классификация уязвимостей. Из неё «охотники» могут узнать, какие типы ошибок интересуют «Яндекс» в первую очередь, и какое вознаграждение за них полагается.

Получив сообщение об ошибке, «Яндекс» проводит мини-расследование — нужно подтвердить уязвимость и проверить, насколько она опасна. Чем серьёзнее ошибка, тем больше будет вознаграждение «охотнику». Раньше результатов проверки можно было ждать довольно долго. Сейчас в компании справляются быстрее: сообщения «охотников» рассматривают дежурные инженеры службы безопасности вместе с командой сервиса, в котором найдена ошибка.

У участников «Охоты за ошибками» иногда возникают вопросы, на которые сложно найти ответ самостоятельно: например, какие данные нужно предоставить, чтобы получить награду, или что делать, если перевод не приходит. Теперь у программы есть собственная служба поддержки — к ней можно обращаться в подобных ситуациях.

Короткая ссылка