«Яндекс» заплатит $5000 тому, кто найдет самую страшную уязвимость в его сервисах В течение месяца «Яндекс» будет принимать сообщения об уязвимостях в своих службах. Нашедший наиболее критичную дыру получит денежный приз.
Компания «Яндекс» объявила месяц поиска уязвимостей, в течение которого любые желающие могут попытаться найти уязвимости в сервисах «Яндекса» и побороться за приз $5 тыс.
Уязвимости предлагается искать на сервисах поисковика, которые хранят, обрабатывают или каким-либо образом используют конфиденциальную информацию пользователей (аутентификационные данные, переписка, личные фото- и видеоальбомы), а также в принадлежащей "Яндексу" социальной сети «Мой Круг».
Искать можно любые уязвимости, эксплуатация которых может привести к нарушению конфиденциальности, целостности или доступности данных пользователей. Например уязвимости, которые делают возможными следующие виды атак: межсайтовый скриптинг (XSS), межсайтовая подделка запросов (CSRF), небезопасное управление сессией, различного рода инъекции и ошибки в механизмах аутентификации и авторизации.
Вместе с тем компания оставила за собой право не принимать сообщения об уязвимостях, обнаруженных в ее инфраструктуре, включая почтовые серверы и FTP-серверы; сервис «Яндекс.Деньги»; сторонние сервисы, взаимодействующие с «Яндексом», и пользовательские аутентификационные данные (например, слабые пароли). Кроме того, в конкурсе не участвуют сообщения об уязвимостях, приводящих к возможности совершения DoS- или DDoS-атак, и об использовании техник социальной инженерии, например фишинга.
Описать проблему необходимо в свободной форме в электронном письме и отправить его на адрес security-report@yandex-team.ru. Представители поисковика просят указывать название сервиса, на котором найдена уязвимость, имя уязвимого скрипта, функции или передаваемого параметра и описать пошаговые действия, которые должны быть выполнены для воспроизведения уязвимости.
Все присланные уязвимости будут проанализированы группой экспертов из службы информационной безопасности «Яндекса». Затем, 25 ноября 2011 г., на конференции ZeroNights будут подведены итоги конкурса. Участник, нашедший и первым сообщивший о самой критической уязвимости, получит приз - $5 тыс.
«Яндекс» перенимает опыт зарубежного конкурента Google. Американская компания не раз проводила конкурсы, участникам которых предлагалось обнаружить уязвимости в веб-браузере Chrome и других продуктах. За найденные 18 уязвимостей в только что вышедшей версии Chrome 15 корпорация выплатила четырем специалистам рекордную сумму - $26511. Среди них оказался россиянин Сергей Глазунов, студент Тюменского государственного университета, обучающийся по специальности «Компьютерная безопасность». Ранее он неоднократно получал денежные призы за найденные уязвимости в предыдущих версиях программы.
Источник: cnews.ru