Поделиться
«Яндекс» вдвое увеличил максимальную награду для этичных хакеров — до 3 млн рублей
«Яндекс» вдвое увеличил максимальный размер вознаграждения в программе «Охота за ошибками». Теперь за сообщение об ошибке «белые хакеры» могут получить до 3 млн руб. — в случае, если им удастся отыскать уязвимость в «Яндекс Почте», «Яндекс ID» или Yandex Cloud.
Размер выплаты зависит от типа найденной ошибки. Самое высокое вознаграждение в «Почте» и «Яндекс ID», 3 млн руб., полагается за уязвимости типа RCE — Remote Code Execution, или удалённое выполнение кода. Они позволяют злоумышленнику запустить в системе вредоносный код. Увеличились и выплаты за другие типы уязвимостей, например, SQL-инъекции. «Яндекс» отдаст приоритет всем присланным критическим ошибкам и оперативно их исправит.
Для Yandex Cloud увеличены выплаты до 3 млн руб. за уязвимости, специфичные для облачных сервисов, такие как Virtual Machine escape — атаки на виртуализацию. Их цель — найти возможность выйти из виртуальной машины — изолированной среды, имитирующей компьютер, — и получить доступ к операционной системе физического сервера в дата-центре, а также к другим виртуальным машинам на этом сервере.
Безопасность «Почты», «Яндекс ID» и виртуальных машин Yandex Cloud критически важна, поэтому «Яндекс» уделяет особое внимание их защите. Так, «Яндекс ID» проверяет подлинность пользователя и даёт доступ в экосистему «Яндекса» и к другим ресурсам. Пользователи доверяют «Яндекс ID» чувствительную информацию: контакты, адреса, документы и не только. В «Почту» приходят письма для сброса паролей, также к ней привязывают аккаунты в соцсетях, банках и других сервисах. А виртуальные машины в Yandex Cloud хранят и обрабатывают чувствительные данные клиентов и обеспечивают изоляцию клиентов друг от друга.
Увеличение вознаграждения — способ привлечь к проверке высокопрофессиональных независимых экспертов и ещё раз убедиться в том, что сервисы надёжны и устойчивы к атакам. Посмотреть, какие сервисы «Яндекса» участвуют в «Охоте за ошибками» и какие вознаграждения предусмотрены за разные типы ошибок, можно на сайте «Яндекса».
«Охота за ошибками» ведётся с 2012 г. «Яндекс» стал первой российской компанией, которая начала премировать специалистов по компьютерной безопасности за сообщения об уязвимостях в своих сервисах. Программа позволяет устроить сервисам «Яндекса» дополнительную «проверку на прочность» и убедиться в надёжности систем защиты.
Поделиться
Короткая ссылка
