Яндекс увеличил награду для «белых хакеров» до 3 млн рублей

«Теперь за сообщение об ошибке «белые хакеры» могут получить до 3 миллионов рублей — в случае, если им удастся отыскать уязвимость в Яндекс Почте, Яндекс ID или Yandex Cloud.

Размер выплаты зависит от типа найденной ошибки. Самое высокое вознаграждение в Почте и Яндекс ID, 3 миллиона рублей, полагается за уязвимости типа RCE — Remote Code Execution, или удалённое выполнение кода. Они позволяют злоумышленнику запустить в системе вредоносный код. Увеличились и выплаты за другие типы уязвимостей, например SQL-инъекции. Яндекс отдаст приоритет всем присланным критическим ошибкам и оперативно их исправит.

Для Yandex Cloud увеличены выплаты до 3 млн рублей за уязвимости, специфичные для облачных сервисов, такие как Virtual Machine escape — атаки на виртуализацию. Их цель — найти возможность выйти из виртуальной машины — изолированной среды, имитирующей компьютер, — и получить доступ к операционной системе физического сервера в дата-центре, а также к другим виртуальным машинам на этом сервере.

Безопасность Почты, Яндекс ID и виртуальных машин Yandex Cloud критически важна, поэтому Яндекс уделяет особое внимание их защите. Так, Яндекс ID проверяет подлинность пользователя и даёт доступ в экосистему Яндекса и к другим ресурсам. Пользователи доверяют Яндекс ID чувствительную информацию: контакты, адреса, документы и не только. В Почту приходят письма для сброса паролей, также к ней привязывают аккаунты в соцсетях, банках и других сервисах. А виртуальные машины в Yandex Cloud хранят и обрабатывают чувствительные данные клиентов и обеспечивают изоляцию клиентов друг от друга.

Увеличение вознаграждения — способ привлечь к проверке высокопрофессиональных независимых экспертов и ещё раз убедиться в том, что сервисы надёжны и устойчивы к атакам. Посмотреть, какие сервисы Яндекса участвуют в «Охоте за ошибками» и какие вознаграждения предусмотрены за разные типы ошибок, можно на сайте.

«Охота за ошибками» ведётся с 2012 года. Яндекс стал первой российской компанией, которая начала премировать специалистов по компьютерной безопасности за сообщения об уязвимостях в своих сервисах. Программа позволяет устроить сервисам Яндекса дополнительную «проверку на прочность» и убедиться в надёжности систем защиты.»