Яндекс начинает платить за уязвимости

Яндекс выплачивает награды за обнаруженные проблемы в безопасности своих сервисов. Любой желающий может попытаться найти уязвимость, сообщить нам об этом и получить денежный приз.

Где искать

На веб-сервисах, а также в мобильных приложениях Яндекса для iOS и Android, которые так или иначе работают с личной информацией пользователей. Личная информация — это, например, логины и пароли, переписка, фото- и видеоальбомы.

Домены веб-сервисов: .yandex.ru, .yandex.com, .yandex.com.tr, .yandex.kz, .yandex.ua, .yandex.by, .yandex.net, .yandex.st, .ya.ru, .moikrug.ru (кроме доменов сервиса Яндекс.Народ).

Мобильные приложения: Карты, Навигатор, Музыка, Такси, Почта, Маркет, Метро, Фотки, Электрички, Диск.

Что искать

Уязвимости — технические недостатки, используя которые можно нарушить целостность или конфиденциальность пользовательской информации, а также изменить права доступа к ней.

В качестве классификации уязвимостей для веб-сервисов используется OWASP Top-10, для мобильных приложений — OWASP Mobile Top-10.


Подробнее: http://company.yandex.ru/security/
Там же есть и расценки на уязвимости.

Из твиттера Руководителя ИБ ‏Яндекса @toxo4ka: "Итак, мы это сделали. Кажется, первыми на постсоветском пространстве".

Чтож, поздравляем Яндекс с этим шагом



Источник: http://company.yandex.ru/security/
21.09.2012

 

продать можно в разы дороже.

 

это понятно, но сам шаг заслуживает уважения долгожданный.

 

Нуда. И я уверен, что 60-70% будут сливать им.

Кстати заметил там такой пункт веселый:

Награда вручается только за обнаружение новых уязвимостей.

и я уверен, если я и ты отправим одну и туже уязвимость (хотя нашел её я сам и ты также ) то денег не получу ни я не ты

 

"Награда вручается только за обнаружение новых уязвимостей." означает, что захотят - дадут деньги, не захотят - скажут что кто-то другой уже сообщил об этой уязвимости. И это никак не проверить.

 

если только ради эксперимента отправить одну и ту же свежую багу разным людям. И посмотреть кому оплатят и оплатят ли вообще.

 

ставлю 10 баксов на то, что не оплатят

 

Яндекс не гугл (=

 

почем шелл на яндексе?

 

я бы заплатил за такую уязвимость кому-нибудь...

 

продавал тут знакомый, нужно цены сравнить, если они больше дают то перепродать одну штучку, проверить =)

 

Здравствуйте!

Благодарим за интерес, проявленный к безопасности сервисов Яндекса. Отправив это письмо, вы стали участником конкурса "Охота за ошибками" https://yandex.ru/bugbounty/ и можете претендовать на награду.

Присланная вами информация передана для проверки в Cлужбу информационной безопасности.
Мы обязательно свяжемся с вами, чтобы сообщить о статусе вашего сообщения.

 

Тоже отправил...XSS правда...но, хз ответят или нет. Если xss в почте, это считается ?

 

конечно считается.

 

Получил ответ. Что данную XSS знают и уже ведутся работы.... Только что отправил письмо - XSS работает....

 

возможно имеется в виду, что XSS уже запостили, но это не значит, что её тут же исправили.

PS отправлял сам им XSS, пофиксили её аж спустя месяц-полтора, так что удивляться не стоит

 

Значит ждем full disclosure. В Яндексе тебе все равно никто даже спасибо не скажет, а интернет сообщество будет благодарно.

 

особенно замечательно выглядят призы за инъекции в критичных сервисах есть подозрение, что с нормальной базы яндекса, можно поиметь намного больше чем жалкие 100к тотально дешевеющих...

стыдно, товарищи! Стыдно!

 

зато вайт, как бы.

 

Кстати, да. Не слово благодарности в письме...даже спасибо за проявленную активность не сказали....