«Яндекс» вдвое увеличил максимальный размер вознаграждения в bug bounty-программе «Охота за ошибками». Теперь багхантеры могут получить до 3 млн рублей за сообщения об уязвимостях в «Яндекс Почте», «Яндекс ID» или Yandex Cloud.
Размер выплаты традиционно зависит от типа найденной уязвимости. Так, самое высокое вознаграждение в размере 3 млн рублей полагается за уязвимости типа RCE (Remote Code Execution), то есть удаленное выполнение кода. Также увеличились и выплаты за другие типы уязвимостей, например SQL-инъекции.
Отмечается, что «Яндекс» отдаст приоритет всем присланным критическим ошибкам и оперативно их исправит.
Для Yandex Cloud выплаты увеличены до 3 млн рублей за уязвимости, специфичные для облачных сервисов, такие как Virtual Machine escape — атаки на виртуализацию, которые дают возможность «сбежать» из виртуальной машины и получить доступ к операционной системе физического сервера в дата-центре, а также к другим виртуальным машинам на этом сервере.
В компании подчеркивают, что безопасность «Почты», «Яндекс ID» и виртуальных машин Yandex Cloud критически важна, поэтому их защите уделяется особое внимание. Так, «Яндекс ID» проверяет подлинность пользователя и дает доступ в экосистему Яндекса и к другим ресурсам. Пользователи доверяют «Яндекс ID» чувствительную информацию: контакты, адреса, документы и не только. В «Почту» приходят письма для сброса паролей, также к ней привязывают аккаунты в соцсетях, банках и других сервисах. А виртуальные машины в Yandex Cloud хранят и обрабатывают чувствительные данные клиентов и обеспечивают их изоляцию друг от друга.
«Увеличение вознаграждения — способ привлечь к проверке высокопрофессиональных независимых экспертов и ещё раз убедиться в том, что сервисы надежны и устойчивы к атакам», — заявляют в компании.
Посмотреть, какие сервисы участвуют в «Охоте за ошибками», и какие вознаграждения предусмотрены за разные типы ошибок, можно на сайте программы.
