Содержание |
Основная статья: Багхантеры (Bughunter) Bug bounty Поиск уязвимостей
«Охота за ошибками» — постоянная программа «Яндекса» по премированию этичных хакеров — тех, кто разбирается в компьютерной безопасности, находит уязвимости в продуктах ИТ-компаний и сообщает им об этом за награду. В 2012 году «Яндекс» первым в России запустил подобную программу.
История
2024: Увеличение награды для охотников за ошибками в умных устройствах до миллиона рублей
Яндекс расширил программу «Охота за ошибками» для умных устройств, добавив в неё изменения 2023 года — Станцию Дуо Макс, Миди и ТВ Станции. Максимальная сумма вознаграждения за найденные уязвимости выросла с 600 тысяч до миллиона рублей. Это поможет привлечь больше «белых хакеров», чтобы проверить устройства на прочность. Об этом Яндекс сообщил 7 февраля 2024 года.
В фокусе внимания — поиск ошибок в новых устройствах. Специалисты, которые смогут обойти их защиту и найти критичные уязвимости, получат до миллиона рублей. Яндекс также увеличил вознаграждение за найденные уязвимости в других устройствах, например в Станции Мини с часами или Станции Макс. Сумма зависит от критичности ошибки. Как DevOps-сервис помогает «разгрузить» высоконагруженные системы BPMSoft
В 2023 году Яндекс инвестировал в цифровую безопасность более 6 млрд рублей — это вдвое больше, чем годом ранее. Эти деньги пошли на разработку защищённых систем хранения данных, развитие технологий защиты от DDoS-атак и мошенничества, системы управления доступами и другие важные направления.
«Охота за ошибками» — постоянная программа Яндекса по поиску уязвимостей. Любой желающий может попробовать найти уязвимость в продуктах компании, сообщить о ней и получить награду. Такой подход позволяет постоянно повышать надёжность сервисов и вовремя узнавать о возможных рисках.
2023
Выплата 70 млн руб участникам программы «Охота за ошибками» за год
В 2023 году Яндекс выплатил 70 млн рублей участникам программы «Охота за ошибками». Она посвящена поиску уязвимостей в сервисах и инфраструктуре компании. Об этом Яндекс сообщил 12 марта 2024 года. По сравнению с 2022 годом общая сумма выплат увеличилась почти вдвое. Это связано с запуском конкурсов по различным направлениям «Охоты» с повышенными выплатами, увеличением наград и ростом числа участников программы. В 2022 году Яндекс выплатил исследователям около 40 млн рублей.
В 2023 году Яндекс начал выплачивать повышенные вознаграждения за найденные уязвимости, а также провёл несколько конкурсов по поиску конкретных типов ошибок. При участии в конкурсах награды могут увеличиваться в 10 раз по сравнению с обычными выплатами.
Конкурсы стали большой частью «Охоты за ошибками» — они помогают кратно увеличить количество отчётов и сфокусировать внимание охотников на наиболее важных для Яндекса направлениях безопасности. Например, один из конкурсов был посвящён защите пользовательских данных, задачей «охотников» стал поиск ошибок и уязвимостей, которые могут привести к раскрытию чувствительной информации.
В 2024 году компания выделит не менее 100 млн рублей на вознаграждение этичных хакеров. Развитие программы «Охота за ошибками» — это возможность привлечь больше внешних специалистов, чтобы дополнительно усилить защиту сервисов компании, оперативно исправляя найденные ошибки и уязвимости.
Мы заинтересованы в росте аудитории «Охоты за ошибками», так как это важная часть проверки наших сервисов на прочность. Сообщество багхантеров состоит из сильных разработчиков, исследователей, специалистов по безопасности. Для них поиск уязвимостей — это возможность использовать свои навыки и усилить безопасность сервисов, которыми они пользуются ежедневно. Для нас — дополнительная помощь в усилении защиты наших сервисов и пользовательских данных, а также возможность оценить безопасность сервисов независимым взглядом, — сказал тимлид продуктовой безопасности Яндекса Иван Чалыкин. |
Итоги «Охоты за ошибками» 2023 года
В 2023 году в «Охоте за ошибками» поучаствовали 528 исследователей. Они прислали 736 отчётов об ошибках, которые соответствовали правилам программы. За 378 уникальных и впервые выявленных находок исследователи получили выплаты. Все критичные ошибки были исправлены.
Самые крупные выплаты 2023 года — 12 млн, 7,5 млн и 3,7 млн рублей — пришлись на конкурс по поиску критичных уязвимостей. За весь год наибольшую сумму в 17 млн рублей заработал этичный хакер, приславший 41 уникальный отчёт. Второе и третье место заняли охотники с общей суммой выплат в 12 и 4,3 млн рублей.
В 2023 году самыми популярными стали отчёты в категории XSS — для их поиска был проведён отдельный конкурс. Подобные уязвимости могут использовать злоумышленники, чтобы обходить политики безопасности сайтов и вставлять вредоносный код на веб-страницы.
«Яндекс» открыл охоту хакеров на особые «дыры» в своих сервисах, максимальная награда - 2,8 млн рублей
«Яндекс» запускает конкурс в программе «Охота за ошибками», в рамках которого этичным хакерам предстоит искать в сервисах «Яндекса» ошибки и уязвимости, которые могут привести к раскрытию чувствительной информации. Максимальная награда за критическую уязвимость составит 2,8 млн рублей — это в 5 раз больше обычной выплаты по этим категориям программы, поделились с TAdviser представители «Яндекса» 1 августа 2023 года.
По их словам, сумма вознаграждения будет зависеть от критичности уязвимости, простоты её использования и влияния на безопасность данных пользователей и партнёров. Конкурс продлится до 31 августа.
Охотники за ошибками смогут получить повышенное вознаграждение за отчёты в двух категориях. Первая — IDOR, или небезопасный прямой доступ к объектам. Это уязвимости в механизмах защиты сайтов, через которые злоумышленники могут получить доступ к приватной информации с помощью ошибок в API.
Вторая категория конкурса — другие технические ошибки и уязвимости, которые дают возможность получить доступ к чувствительной закрытой информации. Например, личным закладкам, персональным промокодам или черновикам статей.
Как уточнили в «Яндексе», исследователям разрешено использовать только собственные тестовые аккаунты для проверки возможных уязвимостей. Нельзя пытаться получить доступ к информации других пользователей.
В компании намерены отдавать приоритет найденным во время конкурса ошибкам и оперативно их исправлять.
Списки ошибок и уязвимостей для «охоты», а также размеры денежных наград за их обнаружение можно посмотреть на сайте программы «Охоте за ошибками».
«Яндекс» в 2,5 раза увеличил годовой фонд программы «Охота за ошибками» — до 100 млн рублей
22 июня 2023 года «Яндекс» сообщил, что увеличит общую сумму выплат в программе «Охота за ошибками» в 2023 году. Компания выделит 100 млн рублей на вознаграждение исследователей, которые ищут уязвимости в её продуктах и инфраструктуре. Программа помогает постоянно укреплять защиту сервисов и оперативно исправлять найденные ошибки.
При этом «Яндекс» продолжит награждать участников, если общие выплаты превысят 100 млн рублей, уверяют в компании.
В 2023 году по состоянию на июнь «Яндекс» уже выплатил охотникам 35,5 млн рублей — большая часть наград пришлась на январский конкурс с десятикратным повышением выплат за находки в категориях Remote Code Execution и SQL-инъекции.
Самые большие награды конкурса — 12 млн, 7,5 млн и 3,7 млн рублей. Размер вознаграждения зависит от критичности уязвимости, простоты её использования и влияния на данные пользователей[1].
2022: Итоги программы «Охота за ошибками» в 2022 году
В 2022 году «Яндекс» решил навсегда повысить вознаграждение за каждую найденную уязвимость в 2 раза — например, теперь за поиск SQL-инъекций максимальная награда составляет не 450, а 900 тысяч рублей.
Общий размер выплат за год составил 39,7 млн рублей, самые крупные — 2 млн, 1,2 млн и 1 млн рублей.
За год в «Охоте за ошибками» поучаствовало 414 исследователей. Они прислали 905 отчётов, из них 288 были уникальными и соответствовали правилам программы. В остальных случаях были указаны уязвимости и ошибки, которые уже выявили другие исследователи или собственная команда безопасности.
Награду получили 277 охотников, первыми приславшие уникальные отчёты. Самый активный участник прислал 64 отчёта и получил 43 выплаты. Все найденные ошибки были исправлены, заявляют в компании.