Где искать
На веб-сервисах, а также в мобильных приложениях Яндекса для iOS и Android, которые так или иначе работают с личной информацией пользователей. Личная информация — это, например, логины и пароли, переписка, фото- и видеоальбомы.
Домены веб-сервисов: yandex.ru, yandex.com, yandex.com.tr, yandex.kz, yandex.ua, yandex.by, yandex.net, yandex.st, ya.ru, moikrug.ru (кроме доменов сервиса Яндекс.Народ).
Мобильные приложения: Карты, Навигатор, Музыка, Такси, Почта, Маркет, Метро, Фотки, Электрички, Диск.
Что искать
Уязвимости — технические недостатки, используя которые можно нарушить целостность или конфиденциальность пользовательской информации, а также изменить права доступа к ней.
В качестве классификации уязвимостей для веб-сервисов используется OWASP Top-10 , для мобильных приложений — OWASP Mobile Top-10 .
Размеры наград
Размер награды зависит от сервиса, на котором была обнаружена уязвимость. Сервисы делятся на две группы: критичные и все остальные. Критичные: Паспорт, Почта, Карты, Календарь, Мой Круг, главная страница Яндекса, страница результатов поиска.Классификация уязвимости по OWASP Top-10 Критичные сервисы Прочие сервисы
A01. Инъекции 30000 руб. 25000 руб.
A02. Межсайтовый скриптинг – A05. Межсайтовая подделка запросов 10000 руб. 5000 руб.
A06. Ошибки конфигурации веб-окружения – A10. Открытое перенаправление 5000 руб. 3000 руб.
В особых случаях размер награды может быть увеличен.
Как и веб-сервисы, мобильные приложения делятся на критичные и все остальные. Критичные: Карты, Навигатор, Музыка, Почта, Маркет.Классификация уязвимости по OWASP Mobile Top-10 Критичные приложения Прочие приложения
M01. Небезопасное хранилище данных – M05. Недостатки в механизмах аутентификации и авторизации 10000 руб. 5000 руб.
M06. Недостатки в управлении сессией – M08. Утечка данных 5000 руб. 3000 руб.
В особых случаях размер награды может быть увеличен.
Куда и как сообщать
По адресу security-report@yandex-team.ru или через форму .
Сообщение можно зашифровать PGP-ключом .
Ограничения
Для тестирования и демонстрации уязвимостей разрешается использовать только свою учётную запись. Взламывать чужие аккаунты ни в коем случае нельзя.
В течение 90 дней после отправки сообщения об уязвимости в Яндекс нельзя раскрывать подробности о ней кому-либо ещё, в том числе публиковать их. Также необходимо приложить все разумные усилия для того, чтобы эта информация не стала доступна третьим сторонам. Подробности
Сотрудники Яндекса или компаний-партнёров не могут участвовать в конкурсе, как и авторы кода, в котором уязвимость обнаружена.
Награда вручается только за обнаружение новых уязвимостей.
Подробнее об участии в конкурсе читайте в Положении .
Сайт конкурса: Яндекс