Акции / Интернет / Яндекс / Конкурс «Охота за ошибками»

Конкурс Яндекс: Конкурс «Охота за ошибками»

С 21 сентября 2012 по 31 декабря 2017
До окончания конкурса 1 неделя, 6 дней
Конкурс  «Яндекс» Конкурс «Охота за ошибками»

Яндекс выплачивает награды за обнаруженные проблемы в безопасности своих сервисов. Любой желающий может попытаться найти уязвимость, сообщить нам об этом и получить денежный приз.

Где искать

На веб-сервисах, а также в мобильных приложениях Яндекса для iOS и Android, которые так или иначе работают с личной информацией пользователей. Личная информация — это, например, логины и пароли, переписка, фото- и видеоальбомы.

Домены веб-сервисов: yandex.ru, yandex.com, yandex.com.tr, yandex.kz, yandex.ua, yandex.by, yandex.net, yandex.st, ya.ru, moikrug.ru (кроме доменов сервиса Яндекс.Народ).

Мобильные приложения: Карты, Навигатор, Музыка, Такси, Почта, Маркет, Метро, Фотки, Электрички, Диск.

Что искать

Уязвимости — технические недостатки, используя которые можно нарушить целостность или конфиденциальность пользовательской информации, а также изменить права доступа к ней.

В качестве классификации уязвимостей для веб-сервисов используетсяOWASP Top-10, для мобильных приложений —OWASP Mobile Top-10.

Размеры наград

Размер награды зависит от сервиса, на котором была обнаружена уязвимость. Сервисы делятся на две группы: критичные и все остальные. Критичные: Паспорт, Почта, Карты, Календарь, Мой Круг, главная страница Яндекса, страница результатов поиска.

Классификация уязвимости по OWASP Top-10Критичные сервисыПрочие сервисы
A01. Инъекции 30000 руб. 25000 руб.
A02. Межсайтовый скриптинг – A05. Межсайтовая подделка запросов 10000 руб. 5000 руб.
A06. Ошибки конфигурации веб-окружения – A10. Открытое перенаправление 5000 руб. 3000 руб.

 В особых случаях размер награды может быть увеличен.

Как и веб-сервисы, мобильные приложения делятся на критичные и все остальные. Критичные: Карты, Навигатор, Музыка, Почта, Маркет.

Классификация уязвимости по OWASP Mobile Top-10Критичные приложенияПрочие приложения
M01. Небезопасное хранилище данных – M05. Недостатки в механизмах аутентификации и авторизации 10000 руб. 5000 руб.
M06. Недостатки в управлении сессией – M08. Утечка данных 5000 руб. 3000 руб.

В особых случаях размер награды может быть увеличен.

Куда и как сообщать

По адресуsecurity-report@yandex-team.ru или через форму.

Сообщение можно зашифровать нашим PGP-ключом.

Ограничения

Для тестирования и демонстрации уязвимостей разрешается использовать только свою учётную запись. Взламывать чужие аккаунты ни в коем случае нельзя.

В течение 90 дней после отправки сообщения об уязвимости в Яндекс нельзя раскрывать подробности о ней кому-либо ещё, в том числе публиковать их. Также необходимо приложить все разумные усилия для того, чтобы эта информация не стала доступна третьим сторонам.Подробности

Сотрудники Яндекса или компаний-партнёров не могут участвовать в конкурсе, как и авторы кода, в котором уязвимость обнаружена.

Награда вручается только за обнаружение новых уязвимостей.

Подробные условия конкурса open block
Нашли ошибку? Выделите, Ctrl+Enter
Яндекс С 21 сентября 2012 по 31 декабря 2017 До окончания конкурса 1 неделя, 6 дней +1 3908 5
6

Комментариев


  • Аркадий 06.03.2013 09:11
    +1
    А гугл к примеру больше платит за обнаружение уязвимостей.
  • admin 06.03.2013 09:12
    +1
    У гугла и обороты поболее будут...
  • 12.02.2016 11:47
    Это для очень умных ребят акция :)
    И идет он, конечно, дико долго.
    И вопрос — разве он не закончился? — http://proactions.com.ua/results/id88.html
  • Ladmin 12.02.2016 12:10
    +1
    Конкурс не закончился, он будет длиться еще до конца года. Мы уже опубликовали результаты про победителей одного из этапов и непременно проинформируем и о других победителях.
    Очень умных ребят надо знать в лицо! :)
    Тем более, что они "умничают" для нашей с вами пользы)
  • 31 августа 21:39
    почему я не учился в школе ?для меня темный лес
  • 11 декабря 20:51
    Да умных точно надо знать в лицо
Войдите или зарегистрируйтесь, чтобы добавлять комментарии.

Добавить комментарий

Перетяните сюда изображения, чтобы прикрепить их к сообщению
      Сайт PROACTIONS.com.ua не является организатором акции,
      информация опубликована с целью ознакомления.

      Похожие акции

      показать все
      Наверх