«Яндекс» платит за уязвимости - "Yandex" has started to pay for vulnerability

Как и все приличные компании, компания "Yandex" также объявила о введении программы по поиску уязвимостей с выплатой вознаграждений. Утилита называется "Охота за ошибками" и со всеми подробностями возможно познакомиться на официальном веб-ресурсе и в официальном положении о конкурсе . Денежные награды составляют от 3000 до 30000 рублей, в зависимости от серьёзности обнаруженной уязвимости. В особых ситуациях размер награды может оказаться увеличен. Поучаствовать в программе могут хакеры из любой страны, сообщать об уязвимостях возможно ч/з форму. На протяжении 90 суток после отправки сообщения об уязвимости в "Yandex" нельзя раскрывать подробности о ней кому-или ещё, в частности опубликовывать их.

Уязвимости возможно искать на веб-сервисах, и в мобильных приложениях "Яндекса" для IOS и Android, которые в любом случае работают с личной информацией людей. Домены веб-сервисов: .яндекс.ru, .яндекс.com, .яндекс.com.tr, .яндекс.kz, .яндекс.ua, .яндекс.by, .яндекс.net, .яндекс.st, .ya.ru, .moikrug.ru (за исключением доменных имен сервиса "Yandex.Народ"). Мобильные приложения: Карты, Навигатор, Музыка, Такси, Почта, Маркет, Метро, Фотографии, Электрички, Диск. Уязвимости в "критичных" сервисах оплачиваются дороже, к ним относятся Паспорт, Почта, Карты, Календарь, Мой Круг, важнейшая страница "Яндекса", страница результатов поиска.
     Классификация по OWASP Top-10 Критичные сервисы Прочие сервисы
A01. Инъекции 30000 руб. 25000 руб.
A02. Межсайтовый скриптинг –
A05. Межсайтовая подделка запросов 10000 руб. 5000 руб.
A06. Ошибки конфигурации веб-окружения – A10. Открытое перенаправление 5000 руб. 3000 руб. К критичным мобильным приложениям относятся Карты, Навигатор, Музыка, Почта, Маркет.


Классификация по OWASP Mobile Top-10 Критичные приложения Прочие приложения
M01. Небезопасное хранилище данных –
M05. Недостатки в механизмах аутентификации и авторизации 10000 руб. 5000 руб.
M06. Недостатки в управлении сессией –
M08. Утечка данных 5000 руб. 3000 руб. В качестве классификации уязвимостей для веб-сервисов используется OWASP Top-10, для мобильных приложений - OWASP Mobile Top-10. "Yandex" уже проводил похожий "конкурс" в прошлом г., тогда в нём поучаствовали около 50 человек. Теперь утилита объявлена бессрочной. Детальнее о программе "Охота за ошибками" возможно будет прочесть в журнале "Хакер" № 10/2012, для которого мы взяли интервью у главы отдела информационной безопасности "Яндекcа" - Антона Карпова.


Ограничения

Для тестирования и демонстрации уязвимостей разрешается применять лишь собственную учётную запись. Взламывать чужие аккаунты ни за что нельзя.

На протяжении 90 суток после отправки сообщения об уязвимости в Yandex нельзя раскрывать подробности о ней кому-или ещё, в частности опубликовывать их. Тоже требуется приложить все разумные усилия для того, чтоб эта информация не стала доступна третьим сторонам.

Сотрудники Яндекса или фирм-партнёров не могут принимать участие в конкурсе, как и авторы кода, в коем уязвимость обнаружена.

Награда вручается лишь за обнаружение новых уязвимостей.

As well as all decent firms, company "Yandex" too declared program introduction on search уязвимостей with payment of compensations. The program is called «Hunting behind errors» and it is possible to get acquainted with all details on an official site and in an official standing about competition. Monetary prizes make from 3000 to 30000 rbl., depending on gravity of the found out vulnerability. In special cases the size of an award can be increased. Take part in the program hackers from any country can, to inform about уязвимостях it is possible through the form. Within 90 days after sending of the message on vulnerability in "Yandex" it is impossible to open details about it to someone else, including to publish them. Vulnerability can search on web services, and also in mobile appendices of "Yandex" for iOS and Android which anyhow work with the personal information of users. Domains of web services:.yandex.ru, .yandex.com.yandex.com.tr.yandex.kz.yandex.ua.yandex.by.yandex.net.yandex.st.ya.ru.moikrug.ru (except service domains «Yandex. The people»). Mobile appendices: Cards, the Navigator, Music, the Taxi, Mail, the Market, the Underground, Photos, Electric trains, the Disk. Vulnerability in "critical" services are paid more expensively, the Passport, Mail concern them, Cards, the Calendar, My Circle, the main page of "Yandex", page of search results.

       Classification on OWASP Top-10 Critical services Other services
A01. Injections 30000 rbl. 25000 rbl.
A02. Межсайтовый скриптинг –
A05. The Mezhsajtovaja fake of inquiries 10000 rbl. 5000 rbl.
A06. Errors of a configuration of a web environment –
A10. An open redirection 5000 rbl. 3000 rbl. Cards concern critical mobile appendices, the Navigator, Music, Mail, the Market.

       Classification on OWASP Mobile Top-10 Critical appendices Other appendices
M01. Unsafe storehouse of the data –
M05. Lacks of mechanisms аутентификации and authorisations 10000 rbl. 5000 rbl.
M06. Lacks of management of session –
M08. Leak given 5000 rbl. 3000 rbl. As classification уязвимостей for web services it is used OWASP
Top-10, for mobile appendices — OWASP Mobile
Top-10. "Yandex" already spent similar "competition" last year then 50 persons have taken part in it nearby. Now the program is declared by termless. More in detail about the program «Hunting behind errors» it will be possible to read in magazine "Hacker" № 10/2012 for which we have interviewed the head of department of information security of "Yandex" — Anton Karpova.  


Restrictions

For testing and demonstration уязвимостей it is authorised to use only the account. To crack another's accounts in no event it is impossible.

Within 90 days after sending of the message on vulnerability in Yandex it is impossible to open details about it to someone else, including to publish them. Also it is necessary to make all reasonable efforts that this information is not become accessible to the third parties.

Employees of Yandex or the companies-partners cannot participate in competition, as well as authors of a code in which vulnerability is found out.

The award is handed over only for detection new уязвимостей.

Теги: «яндекс»,взлом,хакеры,кракозябр,krakoziaber,безопасность,защита информации, антивирус, уязвимости,антихакер,хакатак,ddos,эксплойт