«Яндекс» объявил об увеличении максимального вознаграждения в своей bug bounty-программе «Охота за ошибками». Теперь исследователи кибербезопасности могут получить до 3 миллионов рублей за выявление критических уязвимостей в ключевых сервисах компании, таких как «Яндекс Почта», «Яндекс ID» и облачная платформа Yandex Cloud.
Самое высокое вознаграждение предусмотрено за уязвимости типа RCE (Remote Code Execution) — удалённое выполнение произвольного кода, которое потенциально может привести к полному контролю над системой. Также увеличены выплаты за другие серьезные уязвимости, включая SQL-инъекции и XSS (межсайтовое выполнение скриптов).
Особое внимание уделено безопасности облачной платформы Yandex Cloud. За уязвимости, специфичные для облачных технологий, например, Virtual Machine escape — атаки, позволяющие «сбежать» из виртуальной машины и получить доступ к хост-системе и другим ВМ, багхантеры также смогут получить до 3 миллионов рублей.
В компании подчеркивают, что такие меры направлены на привлечение высокопрофессиональных специалистов. «Безопасность ключевых сервисов критически важна, ведь через “Яндекс ID” пользователи получают доступ ко всей экосистеме, в том числе — к чувствительной информации: адресам, документам, контактам. “Яндекс Почта” служит связующим звеном для восстановления паролей, а в Yandex Cloud обрабатываются и хранятся данные бизнеса и пользователей», — заявили в пресс-службе компании.
Компания также пообещала приоритетную обработку всех сообщений о критических уязвимостях и их оперативное исправление. В прошлом году «Яндекс» уже увеличил фонд программы до 100 млн рублей, а в 2024 году выплатил более 50 млн рублей 749 участникам за 980 уникальных отчётов.
Подробности об условиях участия и структуре выплат можно найти на официальном сайте программы: bugbounty.yandex.ru.
Яндекс борется с крупнейшей DDoS-атакой в истории российского Интернета
