«Яндекс» заплатит за каждую найденную в его сервисах уязвимость

Уязвимости следует искать на веб-сервисах, а также в мобильных приложениях Яндекса для iOS и Android, которые так или иначе работают с личной информацией пользователей. Это сервисы «Яндекса» в доменах .yandex.ru, yandex.com, yandex.com.tr, yandex.kz,yandex.ua, yandex.by, yandex.net, yandex.st, .ya.ru, .moikrug.ru (кроме сервиса Народ), а также мобильные приложения Яндекс.Карты, Навигатор, Музыка, Такси, Почта, Маркет, Метро, Фотки, Электрички и Диск. Количество призов и время проведения конкурса неограниченно, говорится в пресс-релизе компании.

Размер приза зависит от сервиса, на котором была найдена уязвимость, а также от ее сложности. В качестве классификации уязвимостей для веб-сервисов используется OWASP Top-10, для мобильных приложений — OWASP Mobile Top-10. Сервисы делятся на две группы: критичные и все остальные. К критичным относятся «Паспорт», «Почта», «Карты», «Календарь», «Мой Круг», главная страница «Яндекса», страница результатов поиска

Для тестирования и демонстрации уязвимостей разрешается использовать только свою учётную запись. Взламывать чужие аккаунты запрещается. В течение 90 дней после отправки сообщения об уязвимости в «Яндекс» нельзя раскрывать подробности о ней кому-либо ещё, в том числе публиковать их.

«Яндекс» уже привлекал к поиску уязвимостей своих пользователей. В прошлом году был объявлен конкурс, который проходил в течение месяца. В нем приняли участие около полусотни человек. Победителем стал Владимир Воронцов из Москвы. Он получил $5 тыс.