Компания «Яндекс» объявила о перезапуске своей программы bug bounty «Охота за ошибками». Это программа премирования «этичных хакеров», которые находят уязвимости в продуктах «Яндекса» и сообщают об этом. С 2012 года компания перечислила участникам программы более 30 000 000 рублей.
В компании пишут, что «Охота за ошибками» — это возможность еще раз проверить на прочность системы безопасности «Яндекса», и поэтому чем больше хороших специалистов примет участие в программе, тем лучше. В этом году награды в «Охоте за ошибками» станут больше, а условия — прозрачнее.
Так, теперь за сообщение о баге можно получить до 750 000 рублей, а выше всего оцениваются уязвимости, которые позволяют потенциальным злоумышленникам совершить инъекцию, то есть выполнить свой код на стороне сервера.
В «Охоте за ошибками» есть два направления: первое — инфраструктура, сервисы и приложения Яндекса, второе — Яндекс.Браузер. Для каждого направления была разработана подробная классификация уязвимостей. Из нее исследователи смогут узнать, какие типы ошибок интересуют «Яндекс» в первую очередь и какое вознаграждение за них полагается.
Получив сообщение об ошибке, специалисты «Яндекса» проводят мини-расследование, чтобы подтвердить уязвимость и проверить, насколько она опасна. Чем серьезнее ошибка, тем больше будет вознаграждение. Раньше результатов такой проверки можно было ждать довольно долго, но теперь обещают, что сообщения исследователей будут рассматривать дежурные инженеры службы безопасности вместе с командой сервиса, в котором найдена ошибка, и дело пойдет быстрее.
Кроме того, теперь у программы есть собственная служба поддержки, в которую можно обращаться, если возникают вопросы, на которые сложно найти ответ самостоятельно: например, какие данные нужно предоставить, чтобы получить награду, или что делать, если перевод не приходит.
